中国アプリ「TikTok」クレカ情報や名前など全ての文字入力内容を取得していたと認める！TikTok担当者「悪用はしていないからOK」

日本でも人気の中国のSNSアプリ「TikTok」内のブラウザで、外部サイトを閲覧した際にキー入力を監視するJavaScriptが埋め込まれているとセキュリティ研究員が告発し、TikTok担当者は該当のJavaScriptを認識しているとした上で「悪用はしていないから問題ない」との認識を示しました。

キー入力を監視されているということは、ID、パスワード、クレジットカード情報、検索履歴、個人情報など、ユーザが入力した情報全てが収集されているという状況です。

キーロガーを仕込んでいることを公式に認めるのもすごいことですが、悪用していないから問題ないとの認識もまたすごいです。

今回報告されているのはiOS版TikTokアプリですが、TikTokアプリを利用したいユーザは動画閲覧のみに使用するなど注意してください。

日本でTikTokを含む中国発アプリ使用禁止か！自民党が政府に提言方針

日本で行方不明になる児童が増加中！「TikTok」から中国に個人情報が盗まれ臓器売買されてるという指摘も

こちらの記事もオススメです！

TikTok公式がアプリ内で文字入力情報を取得していることを認める

🔥 New Post: Announcing InAppBrowser – see what JavaScript commands get injected through an in-app browser

👀 TikTok, when opening any website in their app, injects tracking code that can monitor all keystrokes, including passwords, and all taps.https://t.co/TxN1ezZX71 pic.twitter.com/pQcX5vrEXc

— Felix Krause (@KrauseFx) August 18, 2022

新しい投稿です。InAppBrowserの発表 – アプリ内ブラウザから注入されるJavaScriptコマンドを確認する TikTokは、アプリで任意のウェブサイトを開くと、パスワードを含むすべてのキーストロークとすべてのタップを監視できる追跡コードが注入されます。

TikTokのアプリ内ブラウザでキー入力が監視されているとの報告

セキュリティ研究員のFelix Krause氏が、iOS版TikTokアプリに、アプリ内ブラウザで外部サイトを観覧するさい、キー入力を監視するJavaScriptが埋め込まれているという内容のレポートを公開しています。

Krause氏は、これは外部サイトにキーロガーをインストールするのと同等としつつ、アプリにこのJSが入っている＝悪用しているではない（見ることができるけど、情報を盗んでいるわけではない）と指摘。TikTok担当者は、報告されているJavaScriptは認識しているとした上で、デバッグ、問題解決、ユーザーエクスペリエンス向上のために使用しており、悪用はしていないとコメントしています。

参考：gizmodo.jp

Twitter上の反応

TikTokにキーロガーが仕込まれているということは、みんなでアプリ内ブラウザで「1989 Tiananmen Square protests and massacre」(天安門事件)と入力すればサービス停止に追い込めるってこと！？

— Miyahan (@miyahancom) August 21, 2022

TikTokのセキュリティリスクなんて前々から言われてるし、今更入力監視で個人情報吸われてるの露呈したところで現行の利用者はコミュニティの継続を優先して利用し続けるだけだと思うんだよな、これで危機感覚える人は最初から利用してない

— 狛 (@ec_lupus) August 21, 2022

は？TikTok監視されてる？怖…ブロックや

— 成瀬 夜 (@_qmeru) August 19, 2022

TikTokの文字入力が全て筒抜けになってる件あるけど、中国系ってこういうのがあるから入れたくないんよなぁ

原神もクリップボードを常時監視してる上に会社だか国だかにすごい頻度で送信してるって話題になってたし

どんなに流行ってても触らないようにしたり個人情報とかを入力しないようにしてる

— にんじん (@electlic_fun112) August 21, 2022

TIKTOKインストールしていないけど、ネットに出てましたよ。
アプリの中でブラウザを開くと全て監視されているそうです。
やる人はいないと思うけど金融関係にアクセスしてはいけません。

— Gemini (@Geminiman215) August 21, 2022

TikTokがいろいろ騒がれてるけど、そもそも「何かしらのコミュニケーションができる」チャイナアプリはすべてにおいて中共の監視下にあるわけで、ログ抽出なんて入ってて当然。少し前に文字入力アプリのしめじで騒がれてたし原神でも似たような話はあった。今更驚くことじゃないし騒ぐことでもない。

— く＠猫儒学派 (@nukonta1301) August 21, 2022

「中韓ってだけで何でみんなが使うアプリ使わんの？」って観点、我々Win95世代はhao123を始めとしてBaidu、Simeji、Babylon、LINEと散々キーロガーやトロイの木馬、個人情報漏えいと向き合ってきたので完全にアレルギー化してるだけなんよ。今回のTiktokのキーロガーも「またか」以外の感想がない。

— 麹 (@oryzae1824) August 21, 2022