TikTokにユーザーの個人情報を盗み出すことが可能になる脆弱性、開発元は早速修正対応

ショートムービープラットフォームのTikTokに、ユーザーの個人情報を盗み出すことが可能になる脆弱性が存在していることが明らかになりました。開発元のByteDanceはこの脆弱性を検知し、早速修正対応しています。

TikTok fixes privacy issue discovered by Check Point Research - Check Point Software
https://blog.checkpoint.com/2021/01/26/tiktok-fixes-privacy-issue-discovered-by-check-point-research/

TikTok fixes flaws allowing theft of private user information
https://www.bleepingcomputer.com/news/security/tiktok-fixes-flaws-allowing-theft-of-private-user-information/

TikTok Flaw Lay Bare Phone Numbers, User IDs For Phishing Attacks | Threatpost
https://threatpost.com/tiktok-flaw-phishing-attacks/163322/

TikTokはサービス提供地域ごとにサーバーを保持しており、ここから3～60秒ほどの短いムービーをユーザーのアプリに配信します。TikTokはAndroidアプリの公式ストアであるGoogle Play上で10億回以上インストールされており、調査会社のデータによるとすべてのモバイルプラットフォーム上での合計インストール数が20億回を突破したことも明らかになっています。

そんなTikTokにユーザーの個人情報を盗み出すことが可能になる脆弱性があると指摘したのが、セキュリティ会社のCheck Pointです。Check Pointによると、TikTokの「Find Friends」という友達を見つけるための機能には、プラットフォームのプライバシー保護を回避して電話番号やユーザーIDなどの個人情報にアクセス可能になる脆弱性が存在するとのこと。

「Find Friends」はユーザーの連絡先やFacebookを通じて知人のTikTokアカウントを見つけることができるという機能。ユーザーが連絡先から知人のアカウントを見つけることができるように、TikTokではユーザープロフィールの詳細が電話番号と紐付けられています。この「Find Friends」で見つかった脆弱性を悪用することで、攻撃者はユーザーの個人情報を盗み出すことが可能になるというわけ。

「Find Friends」の脆弱性を利用するには、まずTikTokのサーバーへのクエリに使用される「デバイスID」および「セッショントークン」のリストを作成。次に、バックグラウンドで実行される独自の署名サービスを使用して、TikTokのHTTPメッセージ署名メカニズムをバイパス。最後にHTTPリクエストを変更、再署名することで、さまざまなセッショントークンおよびデバイスIDを用いてプライバシー保護メカニズムを回避可能になるとのこと。

Check Pointは「この脆弱性により、攻撃者はユーザーの詳細と電話番号が記されたデータベースを構築できた可能性があります。また、このような機密情報を入手した攻撃者は、スピアフィッシングやその他の犯罪行為など、さまざまな悪意のある活動を実行する可能性があります」と警鐘を鳴らしていました。

Check Pointの指摘を受け、開発元のByteDanceは素早く脆弱性を修正。さらにTikTokの広報担当者は、「TikTokのコミュニティにおけるセキュリティとプライバシーを守ることが我々の最優先事項です。潜在的な問題を特定し、ユーザーに影響を与える前に解決する助けとなるため、Check Pointなどの信頼できるパートナーによる協力には感謝しかありません。我々は自動化への投資などの内部機能のアップグレードおよび、サードパーティと協力することでセキュリティを強化し続けています」とコメントしました。