TikTokの「友達を見つける」機能は、デバイスに保存された連絡先の情報を
TikTokサービスに同期して、ユーザーと関連性の高い別のユーザーを探す機能。この機能を利用すると、ユーザのプロファイル情報を電話番号に関連付けることができる。
TikTokアプリの設定で連絡先の同期を許可した場合、アプリはデバイスの連絡先に保存されている名前と電話番号の情報をハッシュ化して
TikTokサーバに送信する。連絡先のアップロードが完了すると、
TikTokアプリはサーバに同期リクエストを送信し、電話番号に紐づけられた既存のプロファイルを取得する。これに対するレスポンスには、対象となったユーザーのプロファイル名やID、プロファイル写真、プロパティ、そしてハッシュ化された電話番号などの情報が含まれる。
連絡先のアップロードと同期のリクエストは、日、ユーザー、デバイス別に500件までに制限されている。しかし、Check Pointの研究者は、デバイスIDやセッションのCookie情報を取得することでこの制限を回避することに成功したという。
TikTokアプリからのリクエストには検証用のヘッダーが含まれており、改竄を防止する仕組みになっているが、この検証を回避できる脆弱性が存在し、連絡先の同期プロセスを完全に自動化することができたとのことだ。この手法が攻撃者によって悪用されたら、ユーザーと電話番号の大規模なデータベースを構築できる可能性があるとされている。
この脆弱性の影響を受けるのは、
TikTokアプリで連絡先の同期を許可しているか、または電話番号を使ってログインしているユーザーに限られる。問題は正規の手続きの基づいて
TikTokに報告されており、対策が行われているとのことだ。Check Point研究チームによる詳細な報告は下記のページで読むことができる。
TikTok fixes privacy issue discovered by Check Point Research - Check Point Research