顔認識スタートアップ企業の Face.com は、同社の iOS アプリ KLINK に存在する脆弱性を修正した。この脆弱性により、攻撃者はユーザーの Facebook や Twitter アカウントを乗っ取ることができた可能性があると、この欠陥を発見したと主張する独立系セキュリティ研究者のアシュカン・ソルタニ氏が述べている。
KLIKは、Facebookのフォトアルバムをスキャンするだけで、新しい写真に友達を簡単にタグ付けできるカメラアプリです。Face.comが開発した顔認識技術を採用しています。
このアプリを使用するには、ユーザーはFacebookアカウントへのアクセスを許可する必要があります。また、Twitterと連携して、ユーザーに代わってメッセージを投稿することもできます。
ソルタニ氏は、Face.comがFacebookによる買収を発表した同日、同アプリの単純な脆弱性を利用してユーザーが互いのFacebookやTwitterアカウントにアクセスできてしまうと、月曜日のブログ投稿で述べた。
ソルタニ氏によると、この脆弱性は、Face.comがFacebookとTwitterのOAuthトークン(固有の認証キー)を安全でない方法でサーバー上に保存し、誰でもアクセスできる状態にしていたために発生したという。
攻撃者はユーザーのOAuthトークンにアクセスすることで、KLIKアプリの権限を悪用し、ユーザーのアカウントを乗っ取る可能性があります。これには、ユーザーのプライベート写真や友達リストにアクセスしたり、ユーザーの名前でステータスアップデートやツイートを投稿したりする機能が含まれます。
ソルタニ氏は、この脆弱性は顔認識技術に影響を及ぼすため、プライバシーへの影響は甚大だと述べた。攻撃者は人気ユーザーのアカウント(例えばレディー・ガガがKLINKを使っていた場合など)を乗っ取り、何百万人ものFacebookの友達の顔写真を作成することができる。そして、それらを街を歩いている人々とリアルタイムで照合できるのだ。
「これは消費者の機密情報を漏洩する可能性のある脆弱性だったため、公開する前にFace.com、Facebook、Twitterと協力し、確実に対処した」とソルタニ氏は述べた。
「6月15日金曜日にセキュリティ上の脆弱性が指摘されたことを確認しました」とFace.comの広報担当者はメールで回答した。「問題は報告後1時間以内に解決され、現在は修正済みです。影響を受けたユーザーや個人情報の漏洩はありません。」
