事故から学ぶ

TikTokの「友達を見つける」機能に、個人情報流出につながる脆弱性

事故概要

業種 SNS
発生時期 情報
漏えい人数
事故概要

「TikTok fixes privacy issue discovered by Check Point Research – Check Point Software」において、同社の研究チームがモバイルアプリケーション「TikTok」にユーザーのプロファイルデータや電話番号などの流出につながる脆弱性を発見したことを伝えた。この脆弱性はTikTokアプリの「友達を見つける」機能に関連したもので、悪用されると、第三者がユーザのプロファイルデータ、アカウントにひもづけられた電話番号などの情報を取得されるおそれがあるという。
TikTokの「友達を見つける」機能は、デバイスに保存された連絡先の情報をTikTokサービスに同期して、ユーザーと関連性の高い別のユーザーを探す機能。この機能を利用すると、ユーザのプロファイル情報を電話番号に関連付けることができる。
TikTokアプリの設定で連絡先の同期を許可した場合、アプリはデバイスの連絡先に保存されている名前と電話番号の情報をハッシュ化してTikTokサーバに送信する。連絡先のアップロードが完了すると、TikTokアプリはサーバに同期リクエストを送信し、電話番号に紐づけられた既存のプロファイルを取得する。これに対するレスポンスには、対象となったユーザーのプロファイル名やID、プロファイル写真、プロパティ、そしてハッシュ化された電話番号などの情報が含まれる。
連絡先のアップロードと同期のリクエストは、日、ユーザー、デバイス別に500件までに制限されている。しかし、Check Pointの研究者は、デバイスIDやセッションのCookie情報を取得することでこの制限を回避することに成功したという。TikTokアプリからのリクエストには検証用のヘッダーが含まれており、改竄を防止する仕組みになっているが、この検証を回避できる脆弱性が存在し、連絡先の同期プロセスを完全に自動化することができたとのことだ。この手法が攻撃者によって悪用されたら、ユーザーと電話番号の大規模なデータベースを構築できる可能性があるとされている。
この脆弱性の影響を受けるのは、TikTokアプリで連絡先の同期を許可しているか、または電話番号を使ってログインしているユーザーに限られる。問題は正規の手続きの基づいてTikTokに報告されており、対策が行われているとのことだ。

引用元 .mynavi.j

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

情報

チェックリストにある要求ルール:

情報

■ 推奨対策

対策:

情報

具体例:

情報

タグ

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。