「Android」版「TikTok」アプリにアカウント乗っ取りの危険--現在は修正済み

Liam Tung (Special to ZDNet.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)2022年09月02日 12時33分

 Microsoftが、「Android」版「TikTok」アプリに存在していた重大な脆弱性について詳しく説明している。ユーザーがリンクをクリックすると、攻撃者にアカウントを乗っ取られる恐れがあったという。

スマートフォンを持つ手
提供: Getty Images/iStockphoto

 「Microsoft 365 Defender」研究チームの研究者Dimitrios Valsamaras氏によると、幸い、Microsoftの研究者がバグ発見報奨金プログラムを通じて2月に問題を報告した後、TikTokの提供元である字節跳動(バイトダンス)の開発者がすぐに脆弱性を修正したという。

 この脆弱性には現在、「CVE-2022-28799」という識別子が割り当てられている。既に修正されたため、MicrosoftはすべてのAndroid版TikTokユーザーに対して、アプリを最新バージョンにアップデートするよう促している。

 脆弱性は、Android版TikTokアプリの「WebView」コンポーネントを通じて悪用される可能性のあるJavaScriptインターフェースに存在していた。Android版TikTokアプリはこれまでに、「Google Play」ストアから15億回ダウンロードされている。

 この脆弱性は、TikTok開発者がWebViewにアプリのJavaScriptインターフェースを実装した方法に起因していた。JavaScriptインターフェースは「ブリッジ機能」を提供でき、ウェブページ内のJavaScriptコードがアプリ内にある特定クラスのJavaの固有メソッドを起動する。

 だが、Valsamaras氏によると、実際の脆弱性は、TikTokアプリがAndroidで特定の「ディープリンク」を処理する方法に存在したという。開発者は、ディープリンクを利用して、アプリ内の選択したコンポーネントにリンクを張れる。ユーザーがディープリンクをクリックすると、Androidのパッケージマネージャーが、インストールされているすべてのアプリをチェックし、どれがディープリンクに対応できるかを確認してハンドラーとして宣言されているコンポーネントに送る、とValsamaras氏は述べている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]