人気アプリTikTokのAndroid版に、1クリックでアカウントを侵害できてしまう深刻度の高い脆弱性があったと、米Microsoftが8月31日(現地時間)に発表した。MicrosoftはTikTokに2月に報告し、TikTokは「脆弱性に対処するための修正をリリースすることで迅速に対応した」としている。
影響を受けるAndroid版TikTokアプリは、これまでに累計15億回以上インストールされている。MicrosoftはAndroid版TikTokアプリのユーザーに対し、アプリの最新版にアップデートすることを勧めている。この脆弱性が実際に悪用された証拠は見つからなかったとしている。
ユーザーが仕掛けられたリンクをクリックするとアカウントが乗っ取られる。攻撃者は被害者のアカウントで動画を投稿したり他のユーザーにメッセージを送信できるだけでなく、アカウントに保存されている非公開の動画の表示も可能になるというものだった。
この脆弱性は、Androidアプリのディープリンク機能に関連する。ディープリンクは、例えばWebサイト上の「このアカウントをフォローする」ボタンをタップするとTwitterアプリが開いてそのアカウントをフォローできるようにすることなどに使える。この機能には本来、検証プロセスが含まれるが、脆弱性を悪用するとこの検証プロセスをバイパスできた。Microsoftの研究者らは概念実証攻撃で悪意あるリンクを作成し、このリンクをクリックするとTikTokアカウントの略歴が「SECURITY BREACH」に改変されることを示した。
Microsoftはアプリユーザーに対し、以下のセキュリティガイドラインを提示した。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR