Android版Twitterアプリのバグで1700万件もの電話番号とユーザーアカウントがマッチされる

セキュリティ専門家が、TwitterのAndroidアプリに存在していたバグを利用して1700万人のユーザーアカウントと電話番号をマッチさせることに成功した。

Ibrahim Balic(イブラヒム・バリック)氏は電話番号の巨大リストを生成し、Twitterの「アドレス帳の連絡先を同期」する機能を利用して一挙にアップロードした。TechCrunchの取材に対してバリック氏は「リストにある電話番号がヒットすれば、Twitterは相当するユーザーアカウントを返してきた」と確認した。

実はTwitterの連絡先アップロード機能には、シーケンシャルな(連続した)番号を受け付けない仕組みがある。これは「マッチング攻撃」を防ぐためのものだったが、バリック氏は20億件の電話番号を生成した後ランダム化して、AndroidアプリからTwitterにアップロードした。バリック氏によれば、こうした巨大なサイズのファイルを受け付けてしまうバグはウェブ版のTwitterには存在していなかったという。

バリック氏はこの方法で、2カ月にわたって電話番号つきユーザーアカウント情報を入手した。ユーザーはイスラエル、トルコ、イラン、ギリシャ、アルメニア、フランス、ドイツの人々だったという。Twitterは12月20日にこの方法による情報入手をブロックした。

電話番号にマッチしたアカウントの一部をサンプルとして、バリック氏はTechCrunchに示してくれた。我々はランダムにユーザー名を生成し、パスワードのリセット機能を利用して電話番号とマッチングさせてその情報が正しいことを確認した。イスラエルの有力政治家のユーザーアカウントがマッチしたこともあった。

またバリック氏は、この脆弱性をTwitterに伝えなかったが、政治家や官僚を含む有力なTwitterユーザーに対してはWhatsAppのグループに投稿して直接問題を伝えたという。

バリック氏の調査は、今週に投稿されたTwitterのブログ記事とは直接の関係はないもののようだ。Twitterは「非公開の情報を入手し、あるいはアカウントを乗っ取ることが可能になる脆弱性を修正した」という。

Twitterの広報担当者はTechCrunchに対し「今後、このようなバグが悪用されないよう修正作業を進めている」と確認した。【略】

今年、Twitterでは重大なセキュリティー問題が何回か発見されている。5月にはTwitterはロケーション情報記録機能からオプトアウトしているユーザーのロケーション情報を提携企業に渡していたことが発覚した。8月には広告主企業に必要以上の情報を引き渡していた。さらに先月、Twitterはユーザーが2段階認証のために登録した電話番号を広告ターゲティングに使っていたことを認めている。

バリック氏は2013年にAppleのデベロッパーセンターがハッカーに侵入されていたことを発見したことで知られている。

画像: Josh Edelson / Getty Images

原文へ

滑川海彦@Facebook

iOS 13からアプリは連絡先のメモ欄を読めなくなる

Apple(アップル)は、アプリ開発者がユーザーのデリケートな個人情報をアクセスするおそれのある抜け穴を塞いだ。iOS 13から、ユーザーの連絡先データを要求したアプリは連絡先の「メモ」欄のデータを読めなくなる。

過去何人もわたってセキュリティー専門家は、連絡先にプライベート情報を書き込まないよう警告してきた。保護も暗号化もされていないので盗まれる恐れがあるからだ。

それでも、アドレス帳をパスワードマネージャー代わりにする人は後を絶たない。あるいは、さまざまなプライベート情報をメモ欄に記入する人もいる。

ATMの暗証番号、家のドアを開けるためのコード、金庫のコード、社会保障番号、クレジットカード番号等々。人に聞かれたくない個人情報も入っているかもしれない。

しかし、iOSアプリがユーザーの連絡先を要求すると、名前、住所、メールアドレス、電話番号とともにメモ欄のデータも返ってくる。Appleは今週のWWDCカンファレンスで、今後そういうことはなくなると発表した。

メモフィールドには、ボスの悪口などデリケートな情報が書かれている可能性がある。実際には多くのユーザーのメモ欄にもっとまずいものが入っていることがある。

このプライベートなメモ情報を必要としているアプリはほとんどないので、影響はないはずだとAppleは言った。もしメモ欄を必要とする正当な理由があるという開発者がいれば、例外を要求することができる。

ほとんどのユーザーはこの問題についてよく考えたことがないだろう。連絡先を秘密情報のために使わない賢明な人は、この変更の影響がないので気にする必要がない。

そして事情を知らなかった人たちのためには、Appleが代わってプライベートデータをプライベートなままにしてくれる。

[原文へ]

(翻訳:Nob Takahashi / facebook