速報: TikTokのiOSアプリでのキーロガー

2022-08-18に中国ByteDance傘下の米動画共有サービスTikTokのiOSアプリにキーロガー (キー操作の取得処理) が存在するとの指摘の報道があったので取り上げます。

情報源

以前、Meta社のInstagramでも同様の指摘をしたフリーランス開発者・セキュリティー専門家のフェリックス・クラウス氏が8月18日、自身のブログで詳細を解説しました。クラウスはアメリカのTwitterやGoogleでアプリ開発の経験があり、現在はGoogleのコンサルタントを務めているそうです。

TikTokのiOSアプリでアプリ内蔵のWebブラウザーで表示されたWebサイトで発生するすべてのキーストロークを取得するそうです。キー操作にはパスワード、クレジットカード情報、その他の機密データが含まれることがあります。

これに対して、TikTok側はテキスト入力の収集ではなく、デバッグ、トラブルシューティング、パフォーマンス監視にのみ使用していると反論しました。

クラウスは、アプリからWebサイトを開く際は、内蔵アプリではなく、通常のWebブラウザーアプリを推奨しています。InstagramとFacebookのアプリは、内蔵ブラウザーの他にデフォルトブラウザーを使用するオプションがありますが、TikTokにはこのオプションがありません。

なお、9/2時点では該当キーロガーは削除され機能しないそうです。

この報道がなされた直後の8/26には、同じく中国企業のmiHoYoが運営するオンラインRPGゲーム原神に対して、「原神のアンチチートを悪用しアンチウイルス回避。ランサムウェアへの応用事例が確認 – PC Watch」の報道がありました。

中国企業によるセキュリティー問題が連続して発生したことで印象に残っています。中国企業のソフトウェア製品にはこうしたセキュリティーの問題がよく指摘されるため、使用を控えるか、注意して使う必要がありそうです。

コメント

  1. […] その他、「速報: TikTokのiOSアプリでのキーロガー | GNU social JP」で紹介した通り、2022年8月にはキーロガーが仕込まれていたとの報道もありました。 […]

タイトルとURLをコピーしました