Android向けTikTokアプリの脆弱性により、悪意のあるリンクをクリックしたアカウントが攻撃者に乗っ取られ、数億人のユーザーが影響を受ける可能性が明らかになった。

Microsoftは、TikTokのAndroidアプリに、攻撃者が特別に細工された悪意のあるリンクをクリックさせることにより、ワンクリックで「迅速かつ静かに」アカウントを乗っ取ることができる深刻度の高い欠陥を発見し、報告している。

Microsoft 365 Defender Research TeamのDimitrios Valsamaras氏は、以下のように述べている。

「攻撃者は、プライベートビデオの公開、メッセージの送信、ユーザーの代わりにビデオをアップロードするなど、ユーザーのTikTokプロフィールや機密情報にアクセスし、改ざんすることが可能でした。」

今回、実際に細工されたリンクをクリックすると、TikTokアプリのWebView（脆弱なアプリがWebコンテンツを表示するために使用するAndroidシステムコンポーネント）を乗っ取るように設計されたエクスプロイトの助けを借りて、攻撃者が悪用できる70以上のJavaScriptメソッドが公開された。

公開されたメソッドを使用すると、攻撃者は、TikTokユーザーの個人情報へのアクセスや変更、認証されたHTTPリクエストの実行が可能になる。

この脆弱性を悪用する攻撃者は、以下の内容を行う事が出来たという。

• ユーザの認証トークンを取得（制御下にあるサーバへのリクエストをトリガーし、クッキーとリクエストヘッダをログに記録することによって実行）
• プライベートビデオやプロフィール設定など、ユーザの TikTok アカウントデータを取得または変更する（TikTok エンドポイントへのリクエストをトリガーし、JavaScript コールバック経由で応答を取得する）

「TikTok Androidアプリケーションにおいて、検証されていないパラメータ上のディープリンクを経由して、WebViewハイジャックの脆弱性が発見されました。これは、JavaScriptのインターフェイスを介してアカウントの乗っ取りをもたらす可能性がありました 」とHackerOneのレポートはさらに説明している。

とはいえ、これら脆弱性については現在ではパッチが適用され、攻撃には利用されていない

CVE-2022-28799として追跡されているこのセキュリティ脆弱性は、Microsoftの最初の公開から1カ月も経たないうちに公開されたTikTokバージョン23.7.3のリリース以降、パッチが適用されています。

現在Microsoftは、CVE-2022-28799が野放しで悪用されている証拠はまだ見つかっていないとしている。

この手の脆弱性はどんなアプリケーションを使っても必ずついて回る物だ。TikTokのユーザーは、信頼できないソースからのリンクをクリックしない、アプリを最新の状態に保つ、公式ソースからのアプリのみをインストールする、アプリの奇妙な動作をできるだけ早く報告することで、同様の問題から身を守ることができる。

また、本脆弱性がアカウント乗っ取り攻撃に利用された可能性についての追加情報は、Microsoftの報告書に記載されている。

2020年11月、TikTokは、攻撃者がサードパーティアプリ経由でサインアップしたユーザーのアカウントを迅速に乗っ取ることを可能にする脆弱性を修正した。

同社は、攻撃者がユーザーの個人情報を盗んだり、アカウントを乗っ取って動画を操作したりすることが可能な、その他のセキュリティ上の欠陥にも対処している。

Google Playストアのエントリによると、TikTokのAndroidアプリは10億回以上インストールされている。Sensor Tower Store Intelligenceの推定によると、2020年4月以降、このモバイルアプリはすべてのプラットフォームですでに20億インストールの大台を超えているとのことだ。