TikTokのAndroidアプリに1クリックでアカウント侵害可能な脆弱性──Microsoftが報告(修正済み)
Android版TikTokアプリに1クリックでアカウントを乗っ取れる脆弱性があった。Microsoftが発見してTikTokに報告し、既に修正済み。悪用されると、乗っ取られたアカウントから勝手に動画やメッセージを送信される可能性があった。
人気アプリTikTokのAndroid版に、1クリックでアカウントを侵害できてしまう深刻度の高い脆弱性があったと、米Microsoftが8月31日(現地時間)に発表した。MicrosoftはTikTokに2月に報告し、TikTokは「脆弱性に対処するための修正をリリースすることで迅速に対応した」としている。
影響を受けるAndroid版TikTokアプリは、これまでに累計15億回以上インストールされている。MicrosoftはAndroid版TikTokアプリのユーザーに対し、アプリの最新版にアップデートすることを勧めている。この脆弱性が実際に悪用された証拠は見つからなかったとしている。
ユーザーが仕掛けられたリンクをクリックするとアカウントが乗っ取られる。攻撃者は被害者のアカウントで動画を投稿したり他のユーザーにメッセージを送信できるだけでなく、アカウントに保存されている非公開の動画の表示も可能になるというものだった。
この脆弱性は、Androidアプリのディープリンク機能に関連する。ディープリンクは、例えばWebサイト上の「このアカウントをフォローする」ボタンをタップするとTwitterアプリが開いてそのアカウントをフォローできるようにすることなどに使える。この機能には本来、検証プロセスが含まれるが、脆弱性を悪用するとこの検証プロセスをバイパスできた。Microsoftの研究者らは概念実証攻撃で悪意あるリンクを作成し、このリンクをクリックするとTikTokアカウントの略歴が「SECURITY BREACH」に改変されることを示した。
Microsoftはアプリユーザーに対し、以下のセキュリティガイドラインを提示した。
- 信頼できないソースからのリンクをタップしない
- 端末とアプリのバージョンを常に最新に保つ
- 信頼できないソースからのアプリをインストールしない
- アプリが自分で行った設定変更以外の異常な動作をしたらすぐにベンダーに報告する
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
TikTokのiOSアプリも「キーロガーと同じような動作」と開発者が指摘
TikTokのiOSアプリは、TikTok外のWebサイトを開くのにアプリ内ブラウザしか使えず、ブラウザはJavaScriptコードでユーザーのキーストロークを入手できるとアプリ開発者が指摘した。TikTokはそのコードは「デバッグ、トラブルシューティング、パフォーマンス監視にのみ使われている」と主張する。
米FCC、AppleとGoogleにTikTokアプリをアプリストアから削除するよう要請
米連邦通信委員会(FCC)のコミッショナーが、AppleとGoogleに対し、アプリストアから「TikTok」を削除するよう要請した。TikTokの個人情報に中国の親会社の従業員がアクセスしているという報道を受けたものだ。7月8日までに削除しないなら、その理由を説明せよとしている。
にじさんじ、VTuberのTikTok乗っ取り相次ぐ 伏見ガク、夢追翔など
「にじさんじ」に所属するVTuberのTikTokアカウントが、相次いで乗っ取り被害に遭っている。運営元のANYCOLORも「対象アカウントの復旧及び原因の究明を行う」としている。
TikTok、米ユーザーデータをOracleのクラウドに移管したと発表 中国からアクセスされたという報道も
中国ByteDance傘下のTikTokは、米国のユーザーデータの保存場所をOracleのクラウドに移管したと発表した。翌日、BuzzFeedがTikTokのユーザーデータは過去に中国からアクセスされていたと報じた。日本など米国以外のユーザーデータの保存場所は従来どおりだ。