FacebookのiOSアプリをご利用の方は、しばらくの間、公共のパソコンや充電ステーションの利用を控えた方が良いかもしれません。どうやら、ソフトウェアに深刻なセキュリティ上の欠陥が発見され、ハッカーがアカウントにアクセスできる可能性があるようです。
セキュリティ研究者の Gareth Wright 氏が昨日公開したブログ記事では、iOS 開発者がログイン情報などの保存された値をどのように扱っているかについて、深刻な疑問が提起されています。一部のアプリでは、このデータが暗号化されていないプレーンテキスト ファイルで保存されているようです…
無料ツールのiExplorer(旧称iPhoneエクスプローラー)とジェイルブレイクされていないiPhoneを使用して、ライト氏はFacebookやDraw Somethingなどのアプリから、暗号化されていないplistファイルに保存されていたあらゆる種類のアカウント情報を取得することができた。
Facebookアプリケーションのディレクトリを開くと、大量のキャッシュ画像とcom.Facebook.plistがすぐに見つかりました。そこにあったのは衝撃的なものでした。アクセストークンではなく、OAuthのキーとシークレットがプレーンテキストで完全に含まれていたのです…
…さっとエクスポートして、親友で地元ブロガーのScoopzに電話をかけ、私のplistを送って試してもらいました。Scoopzは自分のplistをバックアップし、Facebookからログアウトした後、私のplistを自分のデバイスにコピーし、Facebookアプリを開きました。
次の数分間に、私のウォールに投稿が表示され、プライベートメッセージが送信され、Web ページに「いいね!」が付き、アプリケーションが追加されるのを見て、私は驚愕しました。
その後、ScoopzはiPadでDraw Somethingを開き、私のアカウントに直接ログインして、私の友達に写真を送り返しました。」
パニックになる前に、この情報を悪意を持って使用したという証拠は存在しないことを覚えておいてください。しかし、その影響は確かに恐ろしいものです。ライト氏は、ハッカーが接続されたデバイスのplistファイルをコピーする隠しアプリケーション、あるいはiExplorerのようなユーティリティにコードを追加した改変版を使って、このセキュリティホールを悪用する可能性があると示唆しています。
ライト氏は、Facebookはこの脆弱性を認識しており、修正に取り組んでいると述べています。しかし、他の開発者も追随しない限り、誰かがこの情報を悪用し始めるのは時間の問題だと指摘しています。恐ろしいですね。
[TheNextWeb]
