TwitterやFacebookと連携する一部アプリが個人データを盗み取る可能性

FacebookやTwitterのアカウントと連携する一部のモバイルアプリにパーソナルデータが盗み取られる可能性が明らかになった。oneAudienceというモバイルSDK (ソフトウェア開発キット)によるもので、Twitterは同サービスのアカウントに接続しているアプリを確認し、十分に信用できないアプリや使用しなくなったアプリの接続を無効にするように呼びかけている。

この問題はCNBCが最初に報じ、Twitterがヘルプセンターで関連情報と対応策を公開、Facebookも問題のモバイルSDKの危険性を認めるステートメントを報道関係者などに配布し始めた。Facebookに問題をレポートしたセキュリティ研究者は、oneAudienceのほかにもMobiburnに同様の問題があるとしていた。

Twitterによると、問題のあるSDKを用いたアプリでユーザーがアカウントへのアクセスを認めた場合、メールアドレスやユーザーネーム、最後のツィートといったデータにアクセスされる可能性がある。調査の結果、Android向けのoneAudienceを用いたアプリからいくつかのTwitterアカウントでパーソナルデータへのアクセスがあったことを確認した。CNBCによると、問題のあるアプリにはGiant SquareやPhotofyが含まれる。iOS向けのoneAudienceを用いたアプリによる同様のアクセスは確認されていない。また、不正に取得したパーソナルデータを用いたアカウントの乗っ取りも問題公表時点では確認されていない。

問題は、パーソナルデータにアクセスされるリスクがTwitterやFacebookの脆弱性ではなく、モバイルエコシステムの脆弱性を悪用したものであることだ。エコシステム全体での対応が必要であり、完全な修正が容易ではない。Twitterは「みなさんのパーソナルデータやTwitterカウントの安全に影響する可能性がある問題を報告する責務を果たすべきと考え、今日この問題について公表しました」としている。同社は、すでにGoogleとApple、関連するパートナーに問題のSDKについて報告しており、必要な対応を求めている。また、Twitter for Androidのユーザーで影響を受けるユーザーにセキュリティ問題を知らせる通知を送信する。