TikTokのSMSシステムの脆弱性により、攻撃者は個人情報を盗むことができます
セキュリティ研究者は、潜在的なハッカーがユーザーのアカウントをハイジャックし、アップロードされたビデオや個人情報を操作できる、北京に拠点を置くButeDance所有のTikTokのさまざまな脆弱性を発見しました。
TikTokは有名なソーシャルメディアプラットフォームであり、このプラットフォームへの大衆ユーザーの関与は現在です。 Sensor Tower Store Intelligenceの推定による11月の統計では、Google Playに50万、000、000以上のインストーラー、モバイルプラットフォームに15億以上のインストーラーがあります。 3〜60秒の短い形式のループモバイルビデオを共有するために使用されます。
Check Pointの研究者は、レポートでTittokアプリケーションとそのバックエンドが攻撃に対して脆弱であると述べています。 ByteDanceは、11月にセキュリティ問題が公表されてから1か月以内に脆弱性を修正しました。
「データはper延していますが、データ侵害は流行になりつつあります。最新の調査では、最も人気のあるアプリが依然としてリスクにさらされていることが示されています」とチェックポイントの製品脆弱性調査責任者Oded Vanunu氏は述べています。
「ソーシャルメディアアプリケーションは、プライベートデータの優れたソースを提供し、優れた攻撃表面ゲートを提供するため、脆弱性を高度に標的としています。」
TikTokの脆弱なSMSシステム
CheckPointによると、TikTokのSMSシステムは、攻撃者がビデオを追加および削除することでアカウントデータを操作し、ビデオのプライバシー設定を変更し、ユーザーに関連するユーザー名、電子メールアドレス、誕生日、およびその他の個人データをフィルタリングすることを可能にします。 Check Pointの研究者によると、攻撃者はシステムの脆弱性を悪用して不正な動画をアップロードし、アップロードした動画を削除し、ユーザーの動画をプライベートからパブリックに移動し、個人情報を盗みます。
これらの悪意のあるアクションを実行するために、攻撃者は、TikTokからの印象を与えるテキストメッセージを介して、ユーザーの電話番号にアプリダウンロードリンクを送信する可能性があります。さらに、ユーザーは、攻撃者によって制御されているWebサーバーにリダイレクトされる可能性があります。
「リダイレクトにより、ユーザーの同意なしに、クロスサイトリクエストフォージェリ(CSRF)、クロスサイトスクリプティング(XSS)、および機密データ公開攻撃を実行できる可能性が広がります。
「TikTokはユーザーデータの保護に取り組んでいます。多くの組織と同様に、責任あるセキュリティ研究者にゼロデイ脆弱性を非公開にすることをお勧めします」とTikTokセキュリティチームのLuke Deshotelsは述べています。
公開される前に、CheckPointは、これらの脆弱性がアプリの最新バージョンにパッチされることに同意しました。
TikTokは兵士の政府発行のスマートフォンを禁止しました
Check Pointの研究の開示は、陸軍、海軍、海兵隊、空軍などの米国の軍事支部からTikTokが禁止された後のものです。
「これはサイバーの脅威と考えられています」と、陸軍の広報担当ロビン・オチョア中佐は、「政府の電話では許可していません」と述べました。
「ダウンロードするアプリケーションに注意し、携帯電話で異常な未承諾のテキストなどを監視し、すぐに削除してTikTokをアンインストールして個人情報の漏洩を回避します。」
その後、10月に米国上院議員のChuck SchumerとTom Cottonが「TikTokおよび中国で運営されている他の中国ベースのコンテンツプラットフォームによってもたらされる国家安全保障リスクの評価を要求する国家情報局長代理」に送られました。
シューマーはまた、声明を発表し、TikTokへの国家安全保障調査は、TikTokのようなアプリが何百万人ものアメリカ人に深刻なリスクをもたらし、米国政府が調査を開始したことをロイターが報告した際により大きな精査に値する可能性があるという上院議員の懸念を検証すると述べたTikTokの所有者であるByteDanceが2017年11月から米国のソーシャルアプリmusical.lyを買収し、潜在的な国家安全保障上のリスクが生じた。
Tiktok USのゼネラルマネージャーであるVanessa pappasは、すべてのtiktokがユーザーデータを米国に保存し、シンガポールにバックアップの冗長性があると回答しました。 「当社のデータセンターは完全に中国国外にあり、中国の法律の対象となるデータはありません」と彼女は10月下旬に語った。
「TikTokのデータセンターは、完全に中国国外にあります。」彼女はまた、同社には「堅牢なサイバーセキュリティポリシー、データプライバシーおよびセキュリティ慣行の順守に専念する専任の技術チーム」があると述べました。これが1か月後にパパが繰り返したものです。