iOSとAndroid版公式Facebookアプリに脆弱性、情報漏えいの恐れ
Facebookは公式モバイルアプリの脆弱性を発見した開発者からの通報を受けて現在修正中だが、この開発者は端末で公共のPCや充電サービスを利用するのは危険だと警告している。
米FacebookのiOSおよびAndroid向け公式アプリの脆弱性を悪用すれば、他人のアカウントでログインできる――。開発者のギャレス・ライト氏が4月3日(現地時間)、自身のブログで報告した。同氏はこの脆弱性をFacebookに報告し、Facebookは現在アプリを修正中という。
ライト氏によると、自分の端末をPCに接続し、無料のPC向けファイル管理ツール「iExplorer」を使ってFacebookアプリが端末に保存しているデータを調べたところ、ユーザー設定ファイルの「com.Facebook.plist」が暗号化されずにプレーンテキストとして保存されているのが分かった。このファイルを他の端末にコピーしたところ、その端末からFacebookのアカウントにログインできたという。
つまり、公共の場にあるPCにデータを収集するツールが仕込まれていれば、接続した端末からplistファイルを盗まれ、Facebookのアカウントを悪用される恐れがある。また、端末のデータを数秒でコピーできるクレジットカードサイズのツールを使えば、端末が盗まれなくても目を離したすきにplistファイルを盗まれる可能性もあるとライト氏は説明する。
同氏は、Facebookが脆弱性修正のアップデートを公開するまでは、公共のPCや充電サービスは利用しないつもりだと言う。
Facebookは複数のメディアに対し、この脆弱性はジェイルブレイクした端末でのみ危険だという声明を発表したが、米ブログメディアのThe Next Webは、物理的に端末に接触できればジェイルブレイク端末以外でも悪用できると警告する。
The Next Webは、問題はplistファイルが暗号化されずに保存されていることにあるとしている。このファイルを何らかの方法で盗めば、簡単に悪用できるということだ。
また、同メディアがDropboxのplistファイルをチェックしたところ、これもプレーンテキストのままであることが分かったという。こうした人気のアプリがplistファイルを暗号化していないのであれば、他のアプリも推して知るべしかもしれない。
関連記事
- Pathがアップデート、ユーザーデータをハッシュ関数で匿名化
- スマートフォンの紛失による米国での被害額は年間300億ドルに――Lookout予測
- クックパッドのAndroidアプリに脆弱性、情報漏えいの恐れ
- Facebookの友達リクエストでAndroidマルウェアに誘導する攻撃発生
- Facebookの報告機能に不具合、ザッカーバーグ氏のプライベート写真が流出
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.