Facebook のモバイル アプリのセキュリティ上の欠陥は、個人情報を探している窃盗犯によって簡単に悪用される可能性があります。
問題は、iOS および Android デバイス用の Facebook アプリがログイン認証情報を暗号化しないため、悪質なアプリや不正な USB 接続の標的になってしまうことです。
「不正なアプリケーション、またはUSB接続による2分間があれば、どちらのデバイスからでも一時的な認証情報を盗み出すことができます」とビル・レイ氏はThe Registerに書いている。
このセキュリティホールは、英国を拠点とするiOSおよびAndroidデバイス向けアプリ開発者、ガレス・ライト氏によって発見された。
ライト氏はブログに、iPhoneのアプリケーションディレクトリを無料ツールで調べていた際にこの脆弱性を発見したと記している。その過程で、iPhoneのゲームの一つにFacebookのアクセストークンが含まれていることを発見したという。
トークンのコードをコピーした後、彼はFacebookクエリ言語を使ってFacebookから情報を抽出した。「案の定、自分のFacebookアカウントからほぼあらゆる情報を引き出すことができた」と彼は書いている。もし彼がそれができたのであれば、そのトークンを手に入れた人なら誰でも同じことができるはずだ。
ライト氏はトークンに関する経験から、Facebookアプリそのものへの好奇心を掻き立てられた。アプリのディレクトリを詳しく調べ、「そこに含まれていたものは衝撃的だった」と彼は述べた。アプリのplist(ユーザー設定を含むプレーンテキストファイル)の中には、暗号化されていないキーが含まれていた。このキーを持つ者は誰でもFacebookアカウントに完全にアクセスできるのだ。
実験として、ライト氏は自分のplistを友人に送った。友人はライト氏のplistを自分のplistと置き換えた。
「その後数分間で、自分のウォールに投稿が表示され、プライベートメッセージが送られ、ウェブページに「いいね!」がつき、アプリケーションが追加されるのを見て、私はあごが落ちそうになった」とライト氏は書いている。
科学者としての資質を持つライト氏は、ハッカーがどのようにして携帯電話からplistを収集できるかを実証しようと考えた。彼は、PC、ソフトウェア、さらにはスピーカードックにまで感染可能なコードを作成した。このコードは、接触したあらゆるデバイスのplistを無効化することができたが、簡単に改変してplistをコピーすることもできた。
ライト氏は、1週間にわたって1,000以上のplistが発見され、数えられたと書いている。
開発者はFacebookにこの脆弱性を報告し、Facebookは修正に取り組んでいると回答した。しかし、開発者は、たとえFacebookがアプリの脆弱性を塞いだとしても、多くの開発者がゲームのplistに保存しているプレーンテキストトークンを利用することで、ユーザーは依然として攻撃を受ける可能性があると指摘した。
今年初め、FacebookのAndroidアプリは、インストールされたスマートフォンで作成されたSMSメッセージを傍受する複数のアプリの一つとして指摘されました。Facebookはこの疑惑を否定しています。Facebookは、アプリはテキストメッセージの受信、処理、書き込み、そしてそれらの通信の読み取りの許可を求めていますが、これらの許可は使用していないと述べています。
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
