マイク・ピーターソン
· 2分で読めます
TikTokアプリは依然として、動画を含む一部のコンテンツを安全でないHTTP接続経由でダウンロードしています。画像クレジット:Kon Karampelas
iOS および Android 向けの TikTok アプリは、安全でない HTTP 接続を介して特定のコンテンツをダウンロードするため、動画やその他のデータがハッカーによる改ざんの危険にさらされます。
開発者のタラル・ハジ・バクリ氏とトミー・ミスク氏は、人気アプリの脆弱性を調査することを習慣にしています。3月には、TikTokなどのアプリがiOSユーザーのクリップボードの内容を閲覧できるバグを発見しました。
バクリ氏とミスク氏は今、月間ユーザー数8億人を超える人気動画ストリーミングプラットフォーム、TikTokアプリに関する新たな調査結果を発表した。両氏が実施したネットワークトラフィック分析によると、TikTokアプリの最新バージョンは、同社のコンテンツ配信ネットワーク(CDN)への接続に依然として暗号化されていないHTTPを使用している。
接続が暗号化されていないため、ユーザーの動画視聴履歴が傍受される危険性がありますが、より安全な HTTPS の代わりに HTTP を使用すると、中間者 (MITM) 攻撃などのより悪質な戦術が可能になります。
たとえば、ローカル ネットワーク上の悪意のある人物が、任意のビデオを偽のビデオとすり替える可能性があります。
概念実証として、2人はTikTokのCDNサーバーを模倣した偽のサーバーを作成しました。そして、中間者攻撃(MITM)の手法を用いて、TikTokアプリに偽のサーバーを正規のサーバーだと誤認させました。そこから、偽の動画を配信するのは非常に容易になりました。
2人は例として、赤十字と世界保健機関の公式動画を、コロナウイルスの誤情報が満載の動画に差し替えた。
「TikTokのトラフィックを傍受し、アプリを騙して自分たちの動画を、あたかも人気で認証済みのアカウントが投稿したかのように表示させることに成功した」と2人は書いている。「これは、誤解を招くような事実でインターネットを汚染しようと執拗に試みる者たちにとって、格好のツールとなるだろう。」
この特定の攻撃はルーターの設定へのアクセスを必要とするため、Wi-Fi事業者によって悪用される可能性が最も高いと考えられます。しかし、HTTPを使用しているため、TikTokは不正なアクセスポイント、VPNサービス、インターネットサービスプロバイダー、諜報機関によって悪用される可能性があります。
TikTokは、動画、プロフィール写真、クリップの静止画プレビューなど、特定のデータのみをHTTP経由で転送しているようです。しかし、言うまでもなく、動画はこのソーシャルメディアプラットフォームの主要かつ最も重要な機能です。
ほとんどのオンラインサービスやウェブサイトはHTTPSを使用しており、これにより、セキュリティ保護されていない通信の多くの脆弱性が解消されます。AppleとGoogleはどちらもアプリにHTTPS接続の使用を義務付けていますが、下位互換性を確保するためにオプトアウトオプションも提供しています。
