具体的には、ハッカーらが悪意のあるリンクを含む偽のSMSメッセージをティックトックのユーザーに送信した後、ユーザーが同リンクをクリックすれば、ハッカーは直ちにユーザーのティックトックアカウントにアクセスできる。ハッカーはユーザーのコンテンツを操作し、動画の削除やアップロードが可能になるほか、アカウント内のメールアドレスや誕生日などの個人情報を取得することができる。
研究チームは、ティックトックの広告ウェブサイト「ads.tiktok.com」が、クロス・サイト・スクリプティング(Cross-site Scripting)攻撃に対して脆弱であると指摘した。研究者がこの脆弱性を使って実証を行った結果、ユーザーのアカウントからメールアドレスなどを抽出できた。
チェックポイントはすでに、ティックトック側に脆弱性について伝えていた。ティックトックは、昨年12月15日までに脆弱性を修正したという。
米政府はティックトックによる国家安全保障上のリスクを強く懸念し、昨年11月に調査を始めた。また、米陸軍、海軍と海兵隊は12月、兵士に対して、政府支給の端末でのティックトックの使用を禁止した。
イスラエル政府も、安保上の考慮から国境警備隊の隊員にティックトックの利用を禁じることを検討している。
(大紀元:翻訳編集・張哲)
ソース:https://www.epochtimes.jp/p/2020/01/50515.html