最も人気のあるソーシャル メディア アプリの 1 つは、10 億人以上のユーザーに影響を与える可能性のある TikTok のセキュリティ侵害の可能性が発見されたため、データ漏洩に関してより厳しい監視に直面しています。
月曜日に、複数のサイバーセキュリティの専門家が、TikTok のストレージへのアクセスを許可する保護されていないサーバーの脆弱性の発見の疑いについてツイートしました。彼らは、個人的なユーザーデータが保持されていると考えています。 ほんの数日前、Microsoft Corp. は、Android アプリで TikTok 侵害を引き起こす可能性がある「深刻度の高い脆弱性」の発見を発表しました。
ByteDance Ltd. の TikTok は、1 年前に月間ユーザー数が 10 億人を超え、現在では多くの若者に人気のアプリとなっています。 その結果、人気のあるアカウントを盗んだり、重要な情報を転売したりしようとするハッカーにとって魅力的な標的となっています。 トランプ政権は2020年にそれをプライバシーの危険性があると分類し、北京に本拠を置く親会社と中国政府との間の潜在的なつながりに対する懸念から、ほぼ禁止しました.
TikTokのセキュリティ侵害は会社によって軽視されました
TikTok は、週末に検出された侵害の報告は誤りであると述べました。 担当者によると、「当社のセキュリティ チームはこの声明を調査し、問題のコードは TikTok のバックエンド ソース コードとはまったく無関係であると判断しました。」
オーストラリアのオンライン セキュリティ アナリストである Troy Hunt は、盗まれたデータ サンプルのいくつかを調べ、それらの ID で送信されたユーザー プロファイルと映画との間に類似点があることを発見しました。 ただし、リークされた情報の一部は、「侵害されずに構築できた可能性のある、公開されているデータ」でした。 彼 投稿した Twitter で次のように述べています。
「これは今のところかなり決定的ではありません。 一部のデータは、公開されている情報ではありますが、生産情報と一致しています。 一部のデータはジャンクですが、非運用データまたはテスト データである可能性があります。 これまでのところ、それは少し混合バッグです。」
Microsoft は、Android 搭載の携帯電話に影響を与えた可能性がある、より狭い脆弱性を発見しました。 Microsoft 365 Defender Research Team の Dimitrios Valsamaras は、攻撃者が「プライベート ビデオの公開、メッセージの送信、ユーザーに代わってビデオをアップロードすることなどにより、TikTok プロファイルと機密情報」へのアクセスと変更を可能にした可能性があると述べています。 TikTok の広報担当者によると、同社は Microsoft の調査結果にすぐに対応し、「Android アプリの一部の古いバージョンで」発見されたセキュリティの脆弱性を修正しました。
TikTokによるデータ漏洩は米国にとって深刻な懸念事項です
欠陥がどれほど決定的でないか軽微であるかに関係なく、米国が中国と関係のある企業に対する制裁を強化する可能性がある時期に、TikTokとその親会社は綿密に精査される. 6 月、9 人の米国上院議員が、TikTok の CEO に対し、公開書簡でセキュリティの不備について説明するよう要求しました。
ジョー・バイデン大統領は、中国のテクノロジー企業への米国の投資を制限する大統領令に署名する予定であり、TikTokを対象とした別の措置が可能であり、政権は中国政府が米国のユーザーデータにアクセスできるかどうかを注意深く監視しています. 同社は米国議会に対し、Oracle Corp との契約を通じてそのようなデータを保護するための予防措置を講じていることを通知しました。
「TikTok の運用方法には多くの注目が集まっており、その運用方法と実際の運用方法との間には大きな隔たりがあります」と、オーストラリアと米国のサイバーセキュリティ企業である Internet 2.0 Inc. の共同 CEO である Robert Potter 氏は述べています。 7 月、Potter のチームは、TikTok によるユーザー デバイスでの「過剰なデータ収集」を発見したこと、アプリが少なくとも 1 時間に 1 回デバイスの位置をチェックしていること、デバイスと SIM カードの両方のシリアル番号を収集するコードが含まれていることを明らかにしました。 TikTok は調査結果を却下し、「収集したデータの量を誤って述べている」と主張しました。
3/ インターネット 2.0 は、収集するデータの量を誤って表示しています。 たとえば、ユーザー デバイスの IMEI、SIM シリアル番号、アクティブなサブスクリプション情報、IC カードの識別番号、および正確な GPS 位置情報は収集しません。
— TikTokComms (@TikTokComms) 2022 年 7 月 18 日
このニュースはオーストラリアで広く注目され、新しい内務大臣であるクレア・オニールは月曜日に、TikTokが収集するデータとそのデータに誰がアクセスできるかを調査するよう機関に指示したことを明らかにしました. オニールは電子メールで次のように述べています。
「私たちは、民間部門に対してより権威主義的なアプローチを取っている国に拠点を置くテクノロジー企業を抱えているという点で、この基本的な問題を抱えています。 TikTokはこれの始まりでも終わりでもありません。 これは、これらの非常に支配的なテクノロジー企業と、彼らが私たちの生活の中で果たしている役割によって引き起こされた非常に多くの問題の 1 つです。」
TikTok は、データ漏洩を引き起こす可能性のある「キーロギング」である可能性があります
先月、セキュリティ研究者の Felix Krause がアプリ内ブラウザに焦点を当てた別の調査を行った. アプリ内ブラウザを使用するモバイルアプリの脆弱性に焦点を当てたこの調査では、最も人気のある約 25 の iOS アプリを調査し、TikTok がアプリ内ブラウザでキーロギング アプローチを採用していることを発見しました。 Krause 氏によると、「TikTok iOS は、TikTok アプリ内でレンダリングされたサードパーティの Web サイトで発生するすべてのキーストローク (テキスト入力) をサブスクライブします。 これには、パスワード、クレジット カード情報、およびその他の機密ユーザー データが含まれる可能性があります。」
彼はまた、TikTok の iOS バージョンが、ユーザーが何をクリックしたかを分析するために JavaScript コードを採用していることにも気付きました。 Krause 氏は、TikTok がサブスクリプションで何をするのかわからなかったことを認めたが、Forbes の記事での TikTok の反応は、キーロギング機能があることを示していると主張した. TikTok は、報告書の調査結果が正しくなく、誤解を招くものであると述べた声明で TechTarget に回答しました。収集します。 レポートの主張に反して、このコードを介してキーストロークやテキスト入力を収集することはなく、デバッグ、トラブルシューティング、およびパフォーマンスの監視にのみ使用されます。」
ただし、情報セキュリティの専門家は、TikTok のデバッグ用のキーロギングの使用は限られていると感じています。 たとえば、ソフォスの主任研究員であるチェスター ウィスニエフスキー氏によると、トラブルシューティングはソフトウェアではなくオペレーティング システムによって行われることがよくあります。 たとえば、Apple は iPhone の問題については責任を負い、Android の問題については Google が責任を負うことになります。
サイバーセキュリティとプライバシーを専門とするコンサルティング会社 DGC のパートナーである Nick DeLena 氏によると、キーロギングはプライバシーの侵害と見なされることが多く、アプリやサービスがそれを採用していることが判明した場合、通常は別の方法でデバッグすることを余儀なくされます。 . DeLena 氏によると、中国政府は TikTok の親会社である ByteDance に出資しているため、TikTok のソフトウェアのリスクは特に大きいとのことです。
TikTok がデバッグのためだけに容量を使用しているかどうかにかかわらず、それは依然として組織にとってセキュリティ リスクを表す可能性があります。 Synopsys のチーフ セキュリティ ストラテジストである Tim Mackey 氏によると、このプログラムを職場で使用すると、企業の機密情報がキーロギング データ パケットに含まれる可能性があります。 多くの企業は、特定のアプリやサービスが仕事用のデバイスにダウンロードされるのを防いでいますが、増加するリモート ワーカーの管理は問題になる可能性があります。 移行により、仕事と私生活の溝が深まりました。
Wisniewski 氏は、個人の携帯電話やタブレットを仕事関連のタスクに使用する人が増えており、潜在的なリスクに気付いていない可能性があることを強調し、次のように述べています。たまたまアプリ内の TikTok ブラウザーにアクセスして会社のことを始めてしまうと、データ漏洩の大きなリスクになります。」
TikTok 侵害の可能性に関するこの記事を楽しんでいただければ幸いです。データ漏洩とセキュリティに関する疑問が生じます。 そうした場合は、ゼロデイ バグに対する Apple iPhone のセキュリティ上の欠陥の修正がリリースされたことや、Zoom Mac の脆弱性によりハッカーがリモート アクセスを取得できることなど、他の記事もお読みいただけると確信しています。
Source: TikTokの侵害の可能性により、データ漏洩とセキュリティに関する疑問が生じる
