TikTok Android版にワンクリックでアカウントを乗っ取れてしまう重大な脆弱性が発見される

masapoco
投稿日 2022年9月1日 14:09
tiktok icon
tiktok icon

Android向けTikTokアプリの脆弱性により、悪意のあるリンクをクリックしたアカウントが攻撃者に乗っ取られ、数億人のユーザーが影響を受ける可能性が明らかになった。

Microsoftは、TikTokのAndroidアプリに、攻撃者が特別に細工された悪意のあるリンクをクリックさせることにより、ワンクリックで「迅速かつ静かに」アカウントを乗っ取ることができる深刻度の高い欠陥を発見し、報告している。

Microsoft 365 Defender Research TeamのDimitrios Valsamaras氏は、以下のように述べている。

「攻撃者は、プライベートビデオの公開、メッセージの送信、ユーザーの代わりにビデオをアップロードするなど、ユーザーのTikTokプロフィールや機密情報にアクセスし、改ざんすることが可能でした。」

今回、実際に細工されたリンクをクリックすると、TikTokアプリのWebView(脆弱なアプリがWebコンテンツを表示するために使用するAndroidシステムコンポーネント)を乗っ取るように設計されたエクスプロイトの助けを借りて、攻撃者が悪用できる70以上のJavaScriptメソッドが公開された。

公開されたメソッドを使用すると、攻撃者は、TikTokユーザーの個人情報へのアクセスや変更、認証されたHTTPリクエストの実行が可能になる。

この脆弱性を悪用する攻撃者は、以下の内容を行う事が出来たという。

  • ユーザの認証トークンを取得(制御下にあるサーバへのリクエストをトリガーし、クッキーとリクエストヘッダをログに記録することによって実行)
  • プライベートビデオやプロフィール設定など、ユーザの TikTok アカウントデータを取得または変更する(TikTok エンドポイントへのリクエストをトリガーし、JavaScript コールバック経由で応答を取得する)

「TikTok Androidアプリケーションにおいて、検証されていないパラメータ上のディープリンクを経由して、WebViewハイジャックの脆弱性が発見されました。これは、JavaScriptのインターフェイスを介してアカウントの乗っ取りをもたらす可能性がありました 」とHackerOneのレポートはさらに説明している。

とはいえ、これら脆弱性については現在ではパッチが適用され、攻撃には利用されていない

CVE-2022-28799として追跡されているこのセキュリティ脆弱性は、Microsoftの最初の公開から1カ月も経たないうちに公開されたTikTokバージョン23.7.3のリリース以降、パッチが適用されています。

現在Microsoftは、CVE-2022-28799が野放しで悪用されている証拠はまだ見つかっていないとしている。

この手の脆弱性はどんなアプリケーションを使っても必ずついて回る物だ。TikTokのユーザーは、信頼できないソースからのリンクをクリックしない、アプリを最新の状態に保つ、公式ソースからのアプリのみをインストールする、アプリの奇妙な動作をできるだけ早く報告することで、同様の問題から身を守ることができる。

また、本脆弱性がアカウント乗っ取り攻撃に利用された可能性についての追加情報は、Microsoftの報告書に記載されている。

2020年11月、TikTokは、攻撃者がサードパーティアプリ経由でサインアップしたユーザーのアカウントを迅速に乗っ取ることを可能にする脆弱性を修正した。

同社は、攻撃者がユーザーの個人情報を盗んだり、アカウントを乗っ取って動画を操作したりすることが可能な、その他のセキュリティ上の欠陥にも対処している。

Google Playストアのエントリによると、TikTokのAndroidアプリは10億回以上インストールされている。Sensor Tower Store Intelligenceの推定によると、2020年4月以降、このモバイルアプリはすべてのプラットフォームですでに20億インストールの大台を超えているとのことだ。



この記事が面白かったら是非シェアをお願いします!


  • Phantom Galaxy across the spectrum
    次の記事

    ウェッブとハッブルのコラボによる「幻の銀河」M74の新たな画像が公開

    2022年9月1日 16:22
  • 前の記事

    NVIDIAが米国のチップ輸出禁止令を受けて4億ドルの損失を計上する可能性

    2022年9月1日 13:46
    TSMC 4Nノードで製造されるNVIDIAのGPU「H100」
この記事を書いた人
masapoco

スポンサーリンク

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


おすすめ記事

  • tiktok icon

    ホワイトハウス、米上院のTikTok法案採決に「迅速な動き」を期待すると述べる

  • e9411e30d34535dc150e6bfe67e86b01

    TikTokを禁止しようとする試みは、すでに有権者との関係に苦慮している政治家の偽善を露呈している

  • tiktok

    米下院、TikTok禁止法案が賛成多数で可決、上院の対応に注目が集まる

  • message app

    プライベートな会話は本当にプライベートなのか?サイバーセキュリティの専門家が、エンドツーエンド暗号化がどのようにあなたを守るかを説明する

  • tiktok image

    Activision Blizzardの元CEOがTikTok買収に向けてSam Altman氏に支援を打診、OpenAIに学習データを提供か

今読まれている記事