2022-08-18に中国ByteDance傘下の米動画共有サービスTikTokのiOSアプリにキーロガー (キー操作の取得処理) が存在するとの指摘の報道があったので取り上げます。
以前、Meta社のInstagramでも同様の指摘をしたフリーランス開発者・セキュリティー専門家のフェリックス・クラウス氏が8月18日、自身のブログで詳細を解説しました。クラウスはアメリカのTwitterやGoogleでアプリ開発の経験があり、現在はGoogleのコンサルタントを務めているそうです。
TikTokのiOSアプリでアプリ内蔵のWebブラウザーで表示されたWebサイトで発生するすべてのキーストロークを取得するそうです。キー操作にはパスワード、クレジットカード情報、その他の機密データが含まれることがあります。
これに対して、TikTok側はテキスト入力の収集ではなく、デバッグ、トラブルシューティング、パフォーマンス監視にのみ使用していると反論しました。
クラウスは、アプリからWebサイトを開く際は、内蔵アプリではなく、通常のWebブラウザーアプリを推奨しています。InstagramとFacebookのアプリは、内蔵ブラウザーの他にデフォルトブラウザーを使用するオプションがありますが、TikTokにはこのオプションがありません。
なお、9/2時点では該当キーロガーは削除され機能しないそうです。
この報道がなされた直後の8/26には、同じく中国企業のmiHoYoが運営するオンラインRPGゲーム原神に対して、「原神のアンチチートを悪用しアンチウイルス回避。ランサムウェアへの応用事例が確認 – PC Watch」の報道がありました。
中国企業によるセキュリティー問題が連続して発生したことで印象に残っています。中国企業のソフトウェア製品にはこうしたセキュリティーの問題がよく指摘されるため、使用を控えるか、注意して使う必要がありそうです。
詳細プロフィール。SNS: Twitter/GS=gnusocialjp@gnusocial.jp/WP=gnusocialjp@web.gnusocial.jp。2022-07-17からgnusocial.jpとweb.gnusocial.jpのサイトを運営しています。WordPressで分散SNSに参加しています。このアカウントの投稿に返信すると、サイトのコメント欄にも反映されます。
コメント
This Article was mentioned on web.gnusocial.jp