Oligur

• ニュース

セキュリティ研究者が、Android 版と iOS 版の両方の Facebook アプリと Dropbox アプリに重大な欠陥があることを発見しました。この欠陥により、ユーザーの機密性の高い個人データがすべて危険にさらされることになります。

あなたのデバイスにアクセスできる人なら誰でも、インターネットで簡単に入手できる無料のソフトウェアを使用して、あなたのデバイスから暗号化されていないプレーンテキスト ファイルを取得し、あなたのアカウント全体にアクセスすることができます。脱獄は必要ありません。

ガレス・ライト氏は4月3日の自身のブログ記事でこの問題の詳細を説明した。当初はFacebookアプリに焦点が当てられていたが、The Next WebはDropboxアプリにもこの欠陥が存在すると報じている。

Facebook はその後、標準デバイスでは問題がないことを否定する声明を発表しました。

Facebook の iOS および Android アプリケーションは、製造元が提供するオペレーティング システムでの使用のみを目的としており、アクセス トークンが脆弱になるのは、モバイル OS が変更された場合 (つまり、ジェイルブレイクされた iOS または改造された Android)、または悪意のある人物に物理デバイスへのアクセスを許可した場合のみです。

当社では、モバイル オペレーティング システムの変更されていないバージョンでアプリケーションの開発とテストを行っており、開発、展開、セキュリティの基盤としてネイティブ保護に依存していますが、ジェイルブレイクされたデバイスでは、これらすべてが侵害されます。

しかし、Facebookは間違っている。iExploreという無料アプリを使えば、ユーザーはデバイスを脱獄することなく、あらゆるファイルにアクセスできる。これにより、ユーザーの個人データがすべて含まれた.plistファイルが抽出される。これはプレーンテキストで、暗号化もセキュリティ保護もされていないため、誰でも開ける可能性がある。

しかし、Facebookが「悪意のある人物」がまずデバイスに物理的にアクセスする必要があると述べている点は正しい。つまり、端末を所持している間はデータが盗まれる心配はない。しかし、紛失したり盗難にあったりした場合は、懸念材料となる。

問題はAndroidやiOS自体ではなく、データを暗号化しないアプリにあります。そのため、この問題を修正するのはFacebookとDropboxの責任です。他にも脆弱性がある可能性がありますが、現時点でこの脆弱性が見つかっているのはこれら2社のみです。

今後のアップデートにご注目ください。

更新： Dropbox もこの問題について発言し、Android アプリはこの問題の危険にさらされておらず、iOS アプリはすぐに更新される予定であると主張しています。

DropboxのAndroidアプリはアクセストークンを保護された場所に保存しているため、今回の脆弱性の影響を受けません。現在、iOSアプリもアップデートし、同様の対策を講じています。問題の攻撃には、悪意のある攻撃者がユーザーのデバイスに物理的にアクセスする必要があることに留意しています。このような状況では、ユーザーはあらゆる脅威にさらされる可能性がありますので、デバイスの保護を強くお勧めします。