Check Point Software Technologiesは1月26日(米国時間)、「TikTok fixes privacy issue discovered by Check Point Research - Check Point Software」において、同社の研究チームがモバイルアプリケーション「TikTok」にユーザーのプロファイルデータや電話番号などの流出につながる脆弱性を発見したことを伝えた。この脆弱性はTikTokアプリの「友達を見つける」機能に関連したもので、悪用されると、第三者がユーザのプロファイルデータ、アカウントにひもづけられた電話番号などの情報を取得されるおそれがあるという。

TikTokの「友達を見つける」機能は、デバイスに保存された連絡先の情報をTikTokサービスに同期して、ユーザーと関連性の高い別のユーザーを探す機能。この機能を利用すると、ユーザのプロファイル情報を電話番号に関連付けることができる。

  • TikTokアプリの「友達を見つける」機能 − 画像:Check Point Reserchより

    TikTokアプリの「友達を見つける」機能 引用:Check Point Reserch

TikTokアプリの設定で連絡先の同期を許可した場合、アプリはデバイスの連絡先に保存されている名前と電話番号の情報をハッシュ化してTikTokサーバに送信する。連絡先のアップロードが完了すると、TikTokアプリはサーバに同期リクエストを送信し、電話番号に紐づけられた既存のプロファイルを取得する。これに対するレスポンスには、対象となったユーザーのプロファイル名やID、プロファイル写真、プロパティ、そしてハッシュ化された電話番号などの情報が含まれる。

連絡先のアップロードと同期のリクエストは、日、ユーザー、デバイス別に500件までに制限されている。しかし、Check Pointの研究者は、デバイスIDやセッションのCookie情報を取得することでこの制限を回避することに成功したという。TikTokアプリからのリクエストには検証用のヘッダーが含まれており、改竄を防止する仕組みになっているが、この検証を回避できる脆弱性が存在し、連絡先の同期プロセスを完全に自動化することができたとのことだ。この手法が攻撃者によって悪用されたら、ユーザーと電話番号の大規模なデータベースを構築できる可能性があるとされている。

この脆弱性の影響を受けるのは、TikTokアプリで連絡先の同期を許可しているか、または電話番号を使ってログインしているユーザーに限られる。問題は正規の手続きの基づいてTikTokに報告されており、対策が行われているとのことだ。Check Point研究チームによる詳細な報告は下記のページで読むことができる。