すでに修正済み
TikTokのAndroidアプリ、一時ワンクリックで乗っ取り可能に。MSが脆弱性発見
Microsoftは8月31日(現地時間)、TikTokのAndroidアプリに、ワンクリックでアカウントを乗っ取られる可能性がある脆弱性が見つかったと明らかにした。2022年2月にMicrosoft 365 Defender Research Teamが発見し、TikTokに報告。すでに脆弱性は修正されており、悪用された形跡は見つかっていないとしている。
「CVE-2022-28799」として管理されているこの脆弱性は、TikTokのディープリンク機能に関するもの。Androidアプリでは、特定のURLをクリックした際、OS側が指定したアプリで開くといった特定のアクションを指示することができ、たとえばChromeからTwitterのURLをクリックした際、Twitterアプリで開かれる動作などがこれにあたる。
このリンク処理では、アプリがURLを開く前に問題がないかをチェックするプロセスも組み込まれているのだが、TikTokの脆弱性によって攻撃者がこのプロセスをバイパスでき、アプリのWebViewに任意コードを読み込ませることが可能になっていたという。
TikTokアプリは、Google Playストアで15億回以上ダウンロードされており、この脆弱性が悪用されたら、広範囲な影響を及ぼしていた可能性もある。すでに修正はされているが、念のためアプリが最新版になっているか確認しておいた方がいいだろう。
なお、MicrosoftがTikTokに報告したあと、TikTokは速やかに対応を行ったとのことで、Microsoftは「TikTokのセキュリティチームが効率的かつ専門的に解決したことを称賛する」としている。
また、「プラットフォーム間の脅威が増加し巧妙化する中、プラットフォームやデバイスに関係なく、ユーザーのコンピューティング体験を保護するために脆弱性の開示、協調的な対応、その他のかたちでの脅威情報の共有が必要」とし、「今後もより大きなセキュリティコミュニティと協力し、脅威に関するリサーチやインテリジェンスを共有し、より優れた保護対策を構築していく」と述べている。
- Source: Microsoft