iOS版のFacebookカメラ・アプリの利用者に緊急警告:ここ数日でアップデートしていないなら即刻アップデートすること。旧バージョン、つまり12月21日のv1.1.2より前のアプリにはセキュリティ上の脆弱性が発見されている。
このアプリをWiFi経由で使用した場合、悪意あるハッカーがネットワークから侵入しユーザーのアカウントを乗っ取ることができる。その結果、メールアドレスやパスワードといった情報が盗まれる可能性があるという。
この問題を発見したのはエジプトのセキュリティー専門家で、オンライン・セキュリティー・セミナー、Attack-Secureの講師、Mohamed Ramadanだ。 彼は以前にもApple、Google、EtsyなどのiOSアプリに同様の脆弱性を発見している。われわれの取材に対してRamadanは「この問題はSecure Sockets Layer(SSL)証明書の処理が不適切なため生じている」と語った。
Ramadanによると「このアプリは悪意ある発行者のSSL証明書も受け入れてしまう。これによってiPhone版Facebookカメラ・アプリの利用者全員に対して中間者攻撃(Manin The Middle Attack)が可能になる。つまり同じWiFiネットーワークに属している誰かがFacebookアカウントを乗っ取ろうとしても警告が出なくなる」という。”
この理論を実証するためRamadanはWiFiネットーワークにトラフィックをモニタするプロキシーを設置し、カメラ・アプリからユーザー名とパスワードを入力した。するとその情報がプロキシー上に表示されたという。
Ramadanは他のすべてのFacebookアプリをテストしたが、カメラ・アプリ以外にこの脆弱性を有するものは発見できなかったという。われわれはFacebookにコメントを求めているが、まだ回答がない。
[原文へ]
(翻訳:滑川海彦 Facebook Google+)
