米マイクロソフト(以下、MS)が、ショート動画サービスTikTokのAndroidアプリに1クリックで乗っ取ることができ、数億人のユーザーに影響が及ぶ恐れがある脆弱性を発見したと報告しました。すでにTikTokはこのバグを修正済みであり、誰かが悪用した形跡は確認されていないそうです。
MSのTanmay Ganacharya氏はテックメディアThe Vergeに「私たちはTikTokに脆弱性に関する情報を提供し、この問題の修正を助けるために協力しました」と語っています。またTikTok側はすばやく対応したとして、「セキュリティチームによる効率的かつ専門的な解決を称賛します」と述べられています。
この脆弱性は、TikTokアプリ内のディープリンク機能の不具合にあったそうです。この機能は、特定のURLを特定の方法で処理するようにプログラムする、というもの。たとえばChromeで埋め込みツイートをタップすると、ツイッターのアプリが起動するというぐあいです。
ふつうディープリンク機能は特定のアクションを実行するだけに制限されていますが、その制限のため設けていた検証プロセスを避ける方法が見つかったそうです。これによりコンテンツの投稿や他のTikTokユーザーへのメッセージ送信など、アカウントにひも付けられた主な機能が使えるのを発見したとのことです。
このバグを含む2つのバージョンは15億回以上ダウンロードされており、もしも修正する前に何者かが発見して悪用した場合の影響はおそろしく広がった可能性がある、と指摘されています。
MSは、すべてのAndroid版TikTokユーザーにできるだけ早く最新版アプリをダウンロードするよう勧めています。とりあえず、怪しげなURLをうっかり踏まないように気をつけたいところです。