携帯電話のSMSを利用してFacebookアカウントを乗っ取ることができてしまう脆弱性が存在していたという。
米Facebookに携帯電話のSMSを利用したアカウント乗っ取りの脆弱性が存在していたことが分かった。英国のセキュリティ研究者が6月26日のブログで報告した。脆弱性はこの研究者の報告を受けて既に修正されている。
セキュリティ研究者「fin1te」のブログによると、この脆弱性は、携帯電話番号を自分のFacebookアカウントと関連付けられるオプションに存在していた。ユーザーが何も操作しなくても、アカウントを乗っ取られる恐れがあったという。
同オプションでは、SMSで更新情報を受信したり、携帯電話番号でFacebookにログインしたりすることが可能だが、研究者はこのモバイル認証の仕組みに使われていた「profile_id」というパラメータを操作して、Facebookの設定ページ経由で任意のアカウントのprofile_idを参照し、他人のアカウントのパスワードを変更できる方法を発見した。
5月23日にこの問題の報告を受けたFacebookは、同月28日に問題を修正。研究者は2万ドルの賞金を受け取ったという。
FacebookはKaspersky Labのニュースサービス「threatpost」に寄せたコメントで、「研究者の協力を得てこの問題について調査し、迅速に修正した。この問題が悪用された形跡はない」と説明している。
Copyright © ITmedia, Inc. All Rights Reserved.