TikTokがアカウント乗っ取りにつながるAndroidアプリのセキュリティバグを修復

TikTokが、ユーザーアカウントの乗っ取りにつながる可能性があるAndroidアプリの4つのセキュリティバグを修正した。

アプリのセキュリティに関するスタートアップであるOversecuredが発見したその脆弱性は、同じデバイス上の悪意あるアプリが、TikTokアプリの内部からセッショントークンといった機密ファイルを盗むことを可能にしていた可能性がある。セッショントークンは、ユーザーがパスワードを再入力することなくログインするための小さなファイルだ。これのトークンは、攻撃者がパスワードを知らなくてもユーザーのアカウントにアクセスさせることができる。

悪意あるアプリは、その脆弱性を利用して悪意のあるファイルを脆弱なTikTokアプリに注入しなければならない。ユーザーがTikTokアプリを開くと、その悪質なファイルが起動し、悪意のあるアプリはセッショントークンにアクセスし、それをバックグラウンドで気づかれることなく攻撃者のサーバーに送ることができる。

Oversecuredの創業者であるSergey Toshin(セルゲイ・トーシン)氏がTechCrunchに語ったところによると、その悪意あるアプリはTikTokアプリ権限も乗っ取り、Androidデバイスのカメラやマイク、写真やビデオなどのプライベートデータにアクセスする可能性もあると語った。

Oversecuredのウェブサイトには、このバグに関する技術的な詳細が掲載されている。

TikTokによると、Oversecuredから報告を受けた後、2020年初めにそのバグを修復したという。

「業界で最も安全なプラットフォームを構築するために現在行っている取り組みの一環として、私たちは常にサードパーティと協力してバグの発見と修復に努めている。問題のバグはユーザーが悪質なアプリを自分のAndroidデバイスにダウンロードしなければ無害だが、私たちはそのようなバグも修復した。この問題を私たちに報告し、私たちが修復できるようにしてくれた研究者に感謝するとともに、すべてのユーザーにアプリの最新バージョンをダウンロードするようお勧めする」とTikTokの広報担当者であるHilary McQuaide(ヒラリー・マッケイド)氏は述べている。

バグのニュースは、数日後に予想されていたTikTokの禁止が発効する直前に入ってきた。トランプ政権は2020年初めにこのビデオ共有アプリを、中国との関係を理由に国のセキュリティへの脅威であると宣言していた

TikTokの親会社で北京にあるByteDanceはその主張を否定し、連邦政府を訴えてその申し立てに対抗している。

中国でアクセスできないTikTokは、「ユーザーデータを中国政府に提供したことはないし、求められてもそれはしない」と語っている。

関連記事
米政府のTikTok、WeChatの排除命令の全文とその背景
TikTokは来たるべき禁止令をめぐって米国政府を提訴する
Androidのセキュリティバグで悪質なアプリがユーザーの個人情報を吸い取っている可能性

カテゴリー:セキュリティ

タグ:TikTok Android ByteDance

原文へ
(翻訳:iwatani、a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。