security flaw
Mohamed Ramadan

FacebookのiOS版カメラ・アプリは即刻アップデートのこと―WiFi経由でアカウントを乗っ取られる脆弱性発見

次の記事

Path、優れものの検索機能を実装。場所や時間などのメタデータも検索対象として、過去の投稿を徹底活用

Screen Shot 2012-12-24 at 10.55.10 AM

iOS版のFacebookカメラ・アプリの利用者に緊急警告:ここ数日でアップデートしていないなら即刻アップデートすること。旧バージョン、つまり12月21日のv1.1.2より前のアプリにはセキュリティ上の脆弱性が発見されている。

このアプリをWiFi経由で使用した場合、悪意あるハッカーがネットワークから侵入しユーザーのアカウントを乗っ取ることができる。その結果、メールアドレスやパスワードといった情報が盗まれる可能性があるという。

この問題を発見したのはエジプトのセキュリティー専門家で、オンライン・セキュリティー・セミナー、Attack-Secureの講師、Mohamed Ramadanだ。 彼は以前にもApple、Google、EtsyなどのiOSアプリに同様の脆弱性を発見している。われわれの取材に対してRamadanは「この問題はSecure Sockets Layer(SSL)証明書の処理が不適切なため生じている」と語った。

Ramadanによると「このアプリは悪意ある発行者のSSL証明書も受け入れてしまう。これによってiPhone版Facebookカメラ・アプリの利用者全員に対して中間者攻撃(Manin The Middle Attack)が可能になる。つまり同じWiFiネットーワークに属している誰かがFacebookアカウントを乗っ取ろうとしても警告が出なくなる」という。”

この理論を実証するためRamadanはWiFiネットーワークにトラフィックをモニタするプロキシーを設置し、カメラ・アプリからユーザー名とパスワードを入力した。するとその情報がプロキシー上に表示されたという。

Ramadanは他のすべてのFacebookアプリをテストしたが、カメラ・アプリ以外にこの脆弱性を有するものは発見できなかったという。われわれはFacebookにコメントを求めているが、まだ回答がない。

[原文へ]

(翻訳:滑川海彦 Facebook Google+