セキュリティ研究者のガレス・ライト氏は今週初め、FacebookのiOSアプリにセキュリティホールド機能があり、他人がユーザーのログイン情報にアクセスできるようになる可能性があることを、不安を抱かせる発見をしました。この情報はアプリに関連する.plistファイルで発見され、デバイスにアクセスできる人なら誰でも簡単に入手できました。
ライト氏は、iExplorer というツールを使用してデバイス上のファイルを閲覧中に、ゲーム内でプレーヤー同士を接続するために Facebook を使用する Draw Something アプリでプレーンテキストの Facebook アクセス トークンを発見し、この問題を発見しました。
アクセス トークン (これも暗号化や保護のないプレーン テキスト) をテストした後、ライト氏は、このトークンを使用して、個人情報や Facebook の友達の詳細など、参照されている Facebook アカウントのあらゆる情報を取得できることを発見しました。
Draw Something内でそのようなキーを見つけた彼は、Facebook iOSアプリも調べてみたところ、有効期限のない、暗号化されていないFacebookアカウントの認証キーを発見しました。この意味合いについては、ライト氏のブログで以下のように説明されています。
すぐにエクスポートして、親友で地元ブロガーのScoopzに電話をかけ、私のplistを送って試してもらいました。Scoopzは自分のplistをバックアップし、Facebookからログアウトした後、私のplistを自分のデバイスにコピーし、Facebookアプリを開いて…
それから数分後、私のウォールに投稿が表示され、プライベートメッセージが送信され、ウェブページに「いいね!」がつき、アプリケーションが追加されていくのを見て、私は唖然としました。それからScoopzはiPadでDraw Somethingを開き、私のアカウントに直接ログインして、友達に絵を送り返しました。 自分のplistを復元した後も、私のゲームの通知は届いています。
幸いなことに、ライト氏は責任ある行動を取り、この問題を自身の目的に利用するのではなく、Facebookに連絡しました。Facebookは当初、この問題はジェイルブレイクされたデバイスでのみ発生すると主張していましたが、その後、ジェイルブレイクの有無にかかわらず、すべてのデバイスで発生することが判明しました(TheNextWebの報道による)。また、iOS版Dropbox、そしてAndroid版FacebookアプリとDropboxアプリにも同様の問題があることが判明しました。
ライト氏が指摘するように、悪意のある人物がこの情報を入手するには必ずしもデバイスにアクセスする必要はない。
Facebook に連絡した後、私はいくつかの概念実証をまとめてみました。
- 共有PCで実行される隠しアプリケーション充電用に接続されたデバイスにはPlistがコピーされます
- オープンソースのiPhoneエクスプローラーのようなプログラムを追加コードで再コンパイル
- 追加されたコードを備えたセーブドゲーム編集ツール
- iDeviceに物理的にアクセスできる場合にplistをコピーするのに2秒しかかからないクレジットカードサイズのハードウェアソリューション
- 改造されたスピーカードック
1週間で1,000件を超える脆弱なpllistが特定され、数えられましたが、データのコピーは一切行われていません。 (ちなみに、1,000件以上のpllistには、Facebookトークンや認証キー、サードパーティ製アプリに関する情報が公開されていました。)
Facebook と Dropbox は問題の解決に取り組んでいると報じられているが、他のアプリでも同じ問題が発生する可能性があり、共有 PC (公共図書館など) で iOS デバイスを充電したり、公共の充電ステーション (バス停など) を使用したり、個人所有ではないドッキング スピーカーやアクセサリにデバイスを接続したりすることの安全性について懸念が生じている。
この問題の状況については、引き続きお知らせいたします。それまでの間、より一層の注意を払っていただきますようお願いいたします。
