TwitterのAndroid版でダイレクトメッセージに不正アクセスの可能性

Twitter(ツイッター)は、同サービスのAndroidアプリユーザーのダイレクトメッセージが、セキュリティーのバグによって露出した可能性があることを発表した。ただしこの脆弱性が悪用された形跡は見つかっていない。

このバグによって、同じデバイスで動作している悪質なAndroidアプリが、Androidのデータ保護機能を迂回してTwitterアプリに保存されたダイレクトメッセージを盗み出していた可能性がある。しかしTwitterによると、2018年10月に発覚しかこのバグはAndroid 8(Oreo)とAndroid 9(Pie)でのみ有効(CVE Detailsレポート)であり、その後修復されている。

広報担当者がTechCrunchに伝えたところによると、このバグは数週間前、同社がバグ懸賞プログラムで利用しているHackerOneを通じてあるセキュリティー研究者から報告された。

「それ以降アカウントの安全を確保するべく社内で対応した」と広報担当者は言った。「このほど問題が解決したため情報を公開した」。解決前にバグのことを知った何者かが悪用するのを防ぐために、これまでユーザーへの告知を待ったとTwitterは語った。

影響を受けたTwitterユーザーに送られた警告(画像クレジット:TechCrunch)

Twitterによると、大半のユーザーはAndroidsアプリをアップデートしているので脆弱性はない。しかし、ユーザーの約4%は古い脆弱なバージョンを今も使っているため、できるだけ早くアップデートするよう通知を送ると同社は語った。

多くのユーザーが、この問題を通知するアプリ内ポップアップを目にしているはずだ。

このセキュリティー問題のニュースのわずか数週間前、同社はハッカーの攻撃を受け、犯人は共犯2名と共謀して内部ツールを利用して乗っ取った著名人のアカウントから、送金した金額の2倍を返すと称した暗号通貨詐欺のメッセージを拡散した。詐欺アカウントには他の犯行にによるものと合わせて10万ドル(約1060万円)以上の資金が集まった。

司法省は未成年1名を含む3名を、本事件を起こした疑いで起訴した。

画像クレジット:Josh Edelson / Getty Images

関連記事:Decrypted: How a teenager hacked Twitter, Garmin’s ransomware aftermath(未訳記事)

原文へ

(翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。