TikTok for Android の脆弱性 CVE-2022-28799:アカウント乗っ取りにいたる?

A flaw in TikTok Android app could have allowed the hijacking of users’ accounts

2022/08/31 SecurityAffairs — Microsoft の研究者たちは、TikTok for Android アプリに存在する、深刻度の高い脆弱性 CVE-2022-28799 を発見した。この脆弱性の悪用に成功した攻撃者は、ユーザー・アカウントをワンクリックで乗っ取る可能性を持つことになる。ただし、専門家たちは、この脆弱性を悪用してアカウントを乗っ取るには、他の脆弱性との連携が必要になると述べている。この脆弱性は、2022年2月に Microsoft から TikTok へと報告され、すぐに問題は対処された。 Microsoft は、このバグを悪用した攻撃が実際に行われていることを認識していないとしている。

専門家たちは、この脆弱性が、Google Playストア経由で 15億回以上インストールされている Android アプリに影響を与えたとしている。

Microsoft は、「この脆弱性の悪用に成功した攻撃者は、特別に細工されたリンクを標的となるユーザーにクリックさせるだけで、そのユーザーに気づかれることなく、アカウントを乗っ取ることができる。攻撃者はユーザーに成りすまして、プライベートビデオの公開/メッセージの送信/ビデオのアップロードなどに加えて、ユーザーの TikTok プロフィールや機密情報にアクセスし、変更することが可能だった」と発表している。

この脆弱性により、攻撃者はアプリの deeplink 検証を回避できた。攻撃者は、アプリの WebView に任意の URL を読み込ませ、その URL から WebView に付属する JavaScript ブリッジにアクセスすることで、権限を獲得していた。

研究者たちは、この問題は、Android OS の WebView と呼ばれるコンポーネントが提供する、JavaScript インターフェースのアプリの実装に起因することを発見した。

WebView は、Web ページ内の JavaScript コードから、アプリ内の特定のクラスの Java メソッドを呼び出すブリッジ機能を提供する。WebView を介することで、アプリは Web ページの読み込み/表示が可能になる。

このレポートには、「信頼できない Web コンテンツを WebView に読み込み、アプリレベルのオブジェクトを JavaScript のコードでアクセスできるようにすると、JavaScript のインターフェース・インジェクションの脆弱性が生じる。それにより、データ漏洩/データ破壊/任意のコードの実行などにつながる可能性がある」と記されている。

WebView に読み込まれた Web ページの、JavaScript コードへのアクセス機能を、研究者たちが分析したところ、70以上のメソッドが公開されていることが判明した。

Microsoft は、「この WebView 悪用によりアカウントの乗っ取ると、それらのメソッドを呼び出し、攻撃者に対する機能の提供が可能になる。公開されたメソッドの中には、ユーザーの個人情報に対するアクセス/変更を可能にするものや、パラメータとして与えられた任意の URL に対して、認証された HTTP リクエストを実行できるものもある。 また、このメソッドは、POST リクエストのボディを形成するための、JSON 文字列の形で一連のパラメータを受け入れ、ヘッダーを含むサーバーの応答を返すものもある」と指摘している。

このようなメソッドを呼び出すことで、攻撃者は以下のことが可能になる。

  • 制御されたサーバーに対するリクエストを引き起こし、クッキーとリクエストヘッダをログに記録し、ユーザーの認証トークンを取得する。
  • TikTok エンドポイントにリクエストを送信し、JavaScript コールバック経由で応答を取得することで、プライベート・ビデオ/プロフィール設定などの、ユーザーの TikTok アカウント・データを取得/変更する。

このレポートは、「つまり、悪意の行為者は、認証済み HTTP リクエストが実行可能なメソッドを制御することで、TikTok ユーザー・アカウントを侵害できる」と結論付けている。

人気の TikTok ですが、ちょっと怖い脆弱性ですね。お使いの方は、ご注意ください。2021年9月16日の「TikTok に注目する EU 規制当局:中国へのデータ転送と子供のプライバシー保護が焦点」にあるように、このアカウント情報は、中国政府にも注目されているはずです。そのような背景により、2022年6月30日の「米FCC 対 TikTok:Apple/Google のアプリストアからの追放を要求」にあるように、米国では圧力が掛かり始めているようです。