iOSとAndroid版公式Facebookアプリに脆弱性、情報漏えいの恐れ

[佐藤由紀子，ITmedia]

　米FacebookのiOSおよびAndroid向け公式アプリの脆弱性を悪用すれば、他人のアカウントでログインできる――。開発者のギャレス・ライト氏が4月3日（現地時間）、自身のブログで報告した。同氏はこの脆弱性をFacebookに報告し、Facebookは現在アプリを修正中という。

　ライト氏によると、自分の端末をPCに接続し、無料のPC向けファイル管理ツール「iExplorer」を使ってFacebookアプリが端末に保存しているデータを調べたところ、ユーザー設定ファイルの「com.Facebook.plist」が暗号化されずにプレーンテキストとして保存されているのが分かった。このファイルを他の端末にコピーしたところ、その端末からFacebookのアカウントにログインできたという。

　つまり、公共の場にあるPCにデータを収集するツールが仕込まれていれば、接続した端末からplistファイルを盗まれ、Facebookのアカウントを悪用される恐れがある。また、端末のデータを数秒でコピーできるクレジットカードサイズのツールを使えば、端末が盗まれなくても目を離したすきにplistファイルを盗まれる可能性もあるとライト氏は説明する。

　同氏は、Facebookが脆弱性修正のアップデートを公開するまでは、公共のPCや充電サービスは利用しないつもりだと言う。

　Facebookは複数のメディアに対し、この脆弱性はジェイルブレイクした端末でのみ危険だという声明を発表したが、米ブログメディアのThe Next Webは、物理的に端末に接触できればジェイルブレイク端末以外でも悪用できると警告する。

　The Next Webは、問題はplistファイルが暗号化されずに保存されていることにあるとしている。このファイルを何らかの方法で盗めば、簡単に悪用できるということだ。

　また、同メディアがDropboxのplistファイルをチェックしたところ、これもプレーンテキストのままであることが分かったという。こうした人気のアプリがplistファイルを暗号化していないのであれば、他のアプリも推して知るべしかもしれない。