Microsoftは8月31日(米国時間)、「Vulnerability in TikTok Android app could lead to one-click account hijacking - Microsoft Security Blog」において、TikTokのAndroidアプリに重大な脆弱性があったことを伝えた。この脆弱性が悪用された場合、攻撃者がワンクリックでユーザーのアカウントが侵害されるリスクがあったと報告されている。

  • Vulnerability in TikTok Android app could lead to one-click account hijacking - Microsoft Security Blog

    Vulnerability in TikTok Android app could lead to one-click account hijacking - Microsoft Security Blog

標的となるユーザーが特別に細工されたリンクをクリックするだけで、ユーザーに気づかれることなく、アカウントが乗っ取られてしまう重大な脆弱性がTikTokのAndroidアプリに存在していたことが明らかとなった。サイバー犯罪者はこの脆弱性を悪用することで、ユーザーのTikTokのプロフィールや機密情報にアクセスできるようになり、プライベートな動画の公開、メッセージの送信、動画の代理アップロードなどの改ざんを行うことが可能だったされている。

TikTokには、東アジアおよび東南アジア向けのパッケージ名「com.ss.android.ugc.trill」と、その他の国向けのパッケージ名「com.zhiliaoapp.musically」の2種類のAndroidアプリが存在する。TikTokの脆弱性評価を実施した結果、この脆弱性はGoogle Playストアで合計15億回以上インストールされているAndroid向けアプリの両方のパッケージに影響を及ぼしていることが判明している。

Microsoftのセキュリティ研究者は、発見した脆弱性の影響を検討した後に2022年2月にTikTokにこの問題を報告。TikTok は、報告された脆弱性に対処した修正プログラムをリリースすることで迅速に対応しており、この脆弱性は現在CVE-2022-28799として特定されているとのことだ。また、この脆弱性が悪用された形跡は確認されていないと伝えられている。