FacebookやTwitterのアカウントと連携する一部のAndroidアプリに、不正アクセスの可能性が明らかになりました。実際にFacebookやTwitterの一部の連携アプリでメールアドレスなど個人データに不正アクセスがあったことが確認されています。
TwitterやFacebookのアカウントと連携する一部のAndroidアプリに、個人データへの不正アクセスの可能性があることが明らかになりました。
これは「oneAudience」というモバイルSDK (ソフトウェア開発キット)によるもので、Twitterではこのサービスのアカウントに接続しているアプリを確認し、信用できないアプリや使用しなくなったアプリの連携を無効にするよう呼びかけています。
Twitterの発表によると、問題のある「oneAudience」というモバイルSDK を用いたアプリでユーザーがアカウントへのアクセスを認めた場合、メールアドレスやユーザー名、最新のツイートなどの個人データに不正アクセスされる可能性があると言います。
セキュリティ研究者の調査の結果、Android向けの「oneAudience」を用いたアプリからいくつかのTwitterアカウントで個人データへのアクセスがあったことが確認されています。
問題のあるアプリは、Android向けの「oneAudience」を用いた「GiantSquare」や「Photofy」などのアプリが含まれていますが、iOS向けの「oneAudience」を用いたアプリによる同様のアクセスは確認されていません。
また実際に不正に取得した個人データを用いたアカウントの乗っ取りも、問題が公表された時点では確認されていないようです。
Twitterはこの問題の影響を受けた可能性のあるAndroid版Twitterアプリのユーザーに通知を行い、GoogleとAppleに対して脆弱性を通知し、ヘルプセンターで関連情報と対応策を公開しています。
Facebookでは、「oneAudience」に加えて「Mobiburn」という「oneAudience」と同様の機能を提供する別のSDKにも問題があるとし、これらを使用したアプリをポリシー違反としてプラットフォームから削除しました。
さらに2つのSDKに対して停止および破棄の通告をしたことを発表しています。Facebook広報担当者は2つのSDKを使用したアプリは、名前やメールアドレス、性別などの個人データをSDKを作成した会社と共有できるという問題点についても説明しています。
Facebookは950万人の人々に、個人データが盗み取られた可能性があることを通知する予定としています。
今回の個人データへの不正アクセスは、TwitterやFacebookのシステムに問題があったのではなく、外に広がるモバイルエコシステムそのもの脆弱性です。この対処は、モバイルエコシステム全体での対応が必要となりとても困難とも言えます。
わたしたちもサードパーティ製アプリやサービスをTwitterなどのSNSのログイン情報に紐付ける場合は、そのアプリ自体を慎重に確認して連携を考えた方が良いでしょう。