「Android」版「TikTok」アプリにアカウント乗っ取りの危険--現在は修正済み

　Microsoftが、「Android」版「TikTok」アプリに存在していた重大な脆弱性について詳しく説明している。ユーザーがリンクをクリックすると、攻撃者にアカウントを乗っ取られる恐れがあったという。

提供： Getty Images/iStockphoto

　「Microsoft 365 Defender」研究チームの研究者Dimitrios Valsamaras氏によると、幸い、Microsoftの研究者がバグ発見報奨金プログラムを通じて2月に問題を報告した後、TikTokの提供元である字節跳動（バイトダンス）の開発者がすぐに脆弱性を修正したという。

　この脆弱性には現在、「CVE-2022-28799」という識別子が割り当てられている。既に修正されたため、MicrosoftはすべてのAndroid版TikTokユーザーに対して、アプリを最新バージョンにアップデートするよう促している。

　脆弱性は、Android版TikTokアプリの「WebView」コンポーネントを通じて悪用される可能性のあるJavaScriptインターフェースに存在していた。Android版TikTokアプリはこれまでに、「Google Play」ストアから15億回ダウンロードされている。

　この脆弱性は、TikTok開発者がWebViewにアプリのJavaScriptインターフェースを実装した方法に起因していた。JavaScriptインターフェースは「ブリッジ機能」を提供でき、ウェブページ内のJavaScriptコードがアプリ内にある特定クラスのJavaの固有メソッドを起動する。

　だが、Valsamaras氏によると、実際の脆弱性は、TikTokアプリがAndroidで特定の「ディープリンク」を処理する方法に存在したという。開発者は、ディープリンクを利用して、アプリ内の選択したコンポーネントにリンクを張れる。ユーザーがディープリンクをクリックすると、Androidのパッケージマネージャーが、インストールされているすべてのアプリをチェックし、どれがディープリンクに対応できるかを確認してハンドラーとして宣言されているコンポーネントに送る、とValsamaras氏は述べている。