元Googleエンジニア「TikTokはパスワードなど全文字入力を取得できる」 → 公式が反論 → ニューヨーク・タイムズがさらに反論の論争に(1/2 ページ)
他のアプリでも同様のものはあるようです。
プライバシー研究者で元GoogleエンジニアのFelix Krause(フェリックス・クラウス/@KrauseFx)さんが8月19日に公開した、SNSのモバイルアプリに関するセキュリティの懸念事項に関するレポートが話題です。このレポートにTikTok公式がTwitterで反論しましたが、さらにその反論にニューヨーク・タイムズ記者が反論するちょっとした論争に発展しています。
フェリックスさんのレポートは、アプリでURLをクリックした際などにリンク先をスマートフォンのSafariやChromeなどデフォルトブラウザではなく、アプリ内で開く“内蔵ブラウザ”についてまとめたもの。一部のアプリでは、この内蔵ブラウザがセキュリティリスクを抱えているということです。
このレポートでは、特にTikTokが最も多くのリスクを抱えていると指摘。リンクをタップした際にデフォルトブラウザで開く選択が用意されておらず、自動的に内蔵ブラウザで開きます。さらに、この内蔵ブラウザは全てのキーボード入力とタップを監視しており、パスワードやクレジットカード情報なども含まれる可能性があり危険と警告しています。
このレポ−トが公開された翌日の20日、TikTok公式Twitterは反論を投稿。「誤解を招く内容である」「このコードはデバッグ、トラブルシューティング、パフォーマンス監視にのみ使用されている」と内容を否定しました。
ところが同日夜、ニューヨーク・タイムズの記者が反論を展開。「フェリック氏は入力内容の収集を実施したと主張していない」「収集ができるコードがアプリ内に含まれていると指摘しているのみだ」と、記事のURLを添えて投稿しました。この添えられた記事には今回の件についてまとめられており、「マルウェアに利用されるような機能である」「このようなコードが含まれていることが問題」などと述べられています。
実際、フェリックスさんのレポートはTikTokだけでなく、InstagramやFacebookメッセンジャーの内蔵ブラウザについても同様のリスクがあると指摘。特にInstagramの内蔵ブラウザは、TikTokとはまた別の深刻なセキュリティリスクを抱えていると指摘しています。
Copyright © ITmedia, Inc. All Rights Reserved.