TikTok側は反論も、コード注入は事実とコメント
TikTokアプリ内ブラウザ、全てのキー入力が監視されるリスク指摘
Share
あるセキュリティー研究者が、iOS用のTikTokアプリ内ブラウザが外部リンクを開くたび、すべてのキーボード入力や画面のタップが監視される可能性があると報告している。
先日、iOS用FacebookやInstagramアプリのユーザーが、アプリ内に組み込まれた独自ブラウザを使う場合は操作が監視されるリスクがあることが指摘されていた。今回の報告も、そのリスクを指摘したセキュリティー研究者のFelix Krause氏(元Google勤務)が個人ブログで公開したものだ。
それによるとiOS用TikTokアプリ内ブラウザは、外部ウェブサイトにJavaScriptコードを注入し、ユーザーがそのサイトとやりとりしている間の「すべてのキーボード入力とタップ」をTikTokが監視できる可能性があるとのことだ。これら入力には「パスワード、クレジットカード情報などを含む」とされている。
こうしたJavaScriptの注入は「サードパーティのウェブサイトにキーロガー(キー入力を記録するソフト)をインストールすることに相当する」という。もっともKrause氏は「アプリが外部サイトにJavaScriptを注入するからといって、そのアプリが悪意をもって何かを行っているとは限らない」とも付け加えている。そのデータがどこに転送され、どう使われているか、詳しく知る方法はないからだ。
さら自分の身を守りたいユーザーは、アプリからリンクを開くときは常に、デフォルトのブラウザ(iOSならSafari)で開く方法を提供しているかどうかを確認すべきだ、とも警告している。この方法は、調査対象となった全てのアプリで「TikTok以外は」提供しているとのことだ。
これに対してTikTok側は「レポートの結論は正しくなく、誤解を招くものだ」との声明を出している。「このコードを通じてキーストロークまたはテキスト入力を集めることはない。これはデバッグ、トラブルシューティング、およびパフォーマンスの監視のみに使われている」というのだ。
話はここで終わらない。複数のメディアがKrause氏の報告を取り上げているが、その1つであるThe New York Timesの記者が「TikTokの声明は完全に間違っている。研究者はTikTokがキー入力を収集したと主張しているわけではない。それ(キー入力の収集)が行われるかどうか分からないが、それを可能にするコードがあると指摘するのに多大な苦労をした」とコメントしているのだ。
たしかにKrause氏は「悪意ある何かを行っているとは限らない」との結論を述べており、TkiTokの主張と矛盾するものではない。逆に、TikTok側がデバッグやトラブルシューティング目的であれ、外部サイトにJavaScriptコードを注入していることが事実だと認めている格好だ。
かつてiOS 14ベータ版が公開された当時、TikTokアプリがクリップボードをリアルタイムで読み取ることが可視化され、その挙動は修正されることになった。アプリ開発企業もサービス向上のためにデータ収集の必要があるとはいえ、誤解を招く行いは控えた方がよさそうだ。
- Source: Felix Krause
- via: MacRumors
