Microsoft は、TikTok Android アプリに重大度の高い脆弱性が存在し、攻撃者がワンクリックでアカウントに侵入できる可能性があると報告しました。
Android TikTok アプリには重大なセキュリティ問題があり、それを報告したのは Microsoft でした。 同社は最近、サイバーセキュリティ コミュニティ向けに調査結果を詳しく発表し、重大度の高い脆弱性により、攻撃者がワンクリックでアカウントを侵害できる可能性があることを示しました。 TikTokはMicrosoftからもこの問題について通知を受けており、その後パッチが適用されている。
Microsoftによると、この特定の脆弱性はAndroidバージョン23.7.3以下のTikTokに影響を及ぼし、悪用するにはいくつかの問題を連鎖させる必要があり、実際には使用されなかったという。 これは、誰もその影響を受けていない可能性があることを意味します。 実際、Android には TikTok の 2 つのバージョンがあり、1 つは東アジアおよび東南アジア向けで、もう 1 つはその他の世界向けです。 Microsoft は脆弱性評価を実施した結果、両方が影響を受けていることが判明しました。つまり、この脆弱性は合計 15 億のインストールに影響を及ぼしました。
しかし、この脆弱性が存在すると、ユーザーが 1 つのリンクをクリックしただけで、ハッカーがユーザーに気づかれずに Android ベースの TikTok アカウントを乗っ取ることができてしまう可能性があります。 攻撃者は侵害された TikTok プロフィールにアクセスし、プライベートビデオを閲覧したり、メッセージを送信したり、ビデオをアップロードしたりできる可能性があります。
では、この脆弱性が攻撃者によってどのように悪用された可能性があるのか、具体的にはどうなっているのでしょうか? Microsoft によると、TikTok Android アプリでは、アプリのディープリンク検証のバイパスが可能でした。 攻撃者は、アプリに URL をアプリの WebView に強制的に読み込ませることができた可能性があります。 これにより、その URL のページが WebView の JavaScript ブリッジにアクセスできるようになり、ハッカーにさらに多くの機能と、ユーザーの情報に迅速にアクセスするための 70 の方法が提供されることになります。 攻撃者は、制御されたサーバーへのリクエストをトリガーし、Cookie とリクエスト ヘッダーをログに記録することによって、ユーザーの認証トークンを取得することもできた可能性があります。
マイクロソフト この JavaScript ブリッジの問題について書きました 過去に、そして CVE エントリ この TikTok の脆弱性の詳細については、「」を参照してください。 同社は、Microsoft セキュリティ脆弱性調査による協調的脆弱性開示 (CVD) を通じてこの問題を報告しました (MSVR)2022年2月に公開され、公開から1か月後にTikTokによってパッチが適用されました。 Microsoft は、この状況はテクノロジー業界における研究と脅威インテリジェンスの調整がいかに重要であるかを示していると考えています。
ソース: マイクロソフト