TikTokが、ユーザーアカウントの乗っ取りにつながる可能性があるAndroidアプリの4つのセキュリティバグを修正した。
アプリのセキュリティに関するスタートアップであるOversecuredが発見したその脆弱性は、同じデバイス上の悪意あるアプリが、TikTokアプリの内部からセッショントークンといった機密ファイルを盗むことを可能にしていた可能性がある。セッショントークンは、ユーザーがパスワードを再入力することなくログインするための小さなファイルだ。これのトークンは、攻撃者がパスワードを知らなくてもユーザーのアカウントにアクセスさせることができる。
悪意あるアプリは、その脆弱性を利用して悪意のあるファイルを脆弱なTikTokアプリに注入しなければならない。ユーザーがTikTokアプリを開くと、その悪質なファイルが起動し、悪意のあるアプリはセッショントークンにアクセスし、それをバックグラウンドで気づかれることなく攻撃者のサーバーに送ることができる。
Oversecuredの創業者であるSergey Toshin(セルゲイ・トーシン)氏がTechCrunchに語ったところによると、その悪意あるアプリはTikTokアプリ権限も乗っ取り、Androidデバイスのカメラやマイク、写真やビデオなどのプライベートデータにアクセスする可能性もあると語った。
Oversecuredのウェブサイトには、このバグに関する技術的な詳細が掲載されている。
TikTokによると、Oversecuredから報告を受けた後、2020年初めにそのバグを修復したという。
「業界で最も安全なプラットフォームを構築するために現在行っている取り組みの一環として、私たちは常にサードパーティと協力してバグの発見と修復に努めている。問題のバグはユーザーが悪質なアプリを自分のAndroidデバイスにダウンロードしなければ無害だが、私たちはそのようなバグも修復した。この問題を私たちに報告し、私たちが修復できるようにしてくれた研究者に感謝するとともに、すべてのユーザーにアプリの最新バージョンをダウンロードするようお勧めする」とTikTokの広報担当者であるHilary McQuaide(ヒラリー・マッケイド)氏は述べている。
バグのニュースは、数日後に予想されていたTikTokの禁止が発効する直前に入ってきた。トランプ政権は2020年初めにこのビデオ共有アプリを、中国との関係を理由に国のセキュリティへの脅威であると宣言していた。
TikTokの親会社で北京にあるByteDanceはその主張を否定し、連邦政府を訴えてその申し立てに対抗している。
中国でアクセスできないTikTokは、「ユーザーデータを中国政府に提供したことはないし、求められてもそれはしない」と語っている。
関連記事
・米政府のTikTok、WeChatの排除命令の全文とその背景
・TikTokは来たるべき禁止令をめぐって米国政府を提訴する
・Androidのセキュリティバグで悪質なアプリがユーザーの個人情報を吸い取っている可能性
カテゴリー:セキュリティ