TikTokに重大なセキュリティ上の欠陥が発見〜イスラエルのセキュリティ企業が指摘

 
イスラエルを拠点とするセキュリティ企業Check Pointは現地時間の1月8日、動画共有プラットフォームTikTokの重大なセキュリティ上の欠陥を指摘するブログ記事を投稿しました。米The New York Timesがその内容をまとめています。

脆弱性はすでに修正済み

TikTokのメッセージ機能を使って送られた悪意のあるリンクをユーザーにクリックさせることで、攻撃者がそのユーザーのアカウントから動画をアップロードしたり、プライベートな動画へのアクセス権を得られることがCheck Pointの調査で明らかになりました。
 
また、TikTokのWebサイトからユーザーのアカウントの個人情報を抜き取ることが可能なこともわかっています。
 
「当社が発見した脆弱性はすべて、TikTokのシステムの中核にあったものだ」とCheck Pointの製品脆弱性リサーチ部門を率いるオーディッド・バヌヌ氏はコメントしています。
 
TikTokはすでにCheck Pointが発見したセキュリティ上の欠陥に関する報告を昨年11月20日に受け、12月15日までにバグの修正を完了したと伝えられています。

悪意のあるリンクを自らのアカウントに送って実践

Check Pointのハッキング手法では、あたかもTikTokから送られてきたように見せかけユーザーに悪意のあるメッセージを送ることができました。Check Pointの研究者たちは、自分のアカウントに悪意のあるリンクを送り、コンテンツのアップロード、動画の削除、プライベート動画の公開など、アカウントの乗っ取りを試みました。
 
またCheck Pointの研究者たちは、TikTokのWebサイトが悪意のあるコードの挿入にも弱いことを発見し、ユーザーの名前や生年月日などの個人情報をサイトから入手できることを証明しました。
 
 
Source:Check Point via The New York Times
(lexi)