Twitter(ツイッター)は、同サービスのAndroidアプリユーザーのダイレクトメッセージが、セキュリティーのバグによって露出した可能性があることを発表した。ただしこの脆弱性が悪用された形跡は見つかっていない。
このバグによって、同じデバイスで動作している悪質なAndroidアプリが、Androidのデータ保護機能を迂回してTwitterアプリに保存されたダイレクトメッセージを盗み出していた可能性がある。しかしTwitterによると、2018年10月に発覚しかこのバグはAndroid 8(Oreo)とAndroid 9(Pie)でのみ有効(CVE Detailsレポート)であり、その後修復されている。
広報担当者がTechCrunchに伝えたところによると、このバグは数週間前、同社がバグ懸賞プログラムで利用しているHackerOneを通じてあるセキュリティー研究者から報告された。
「それ以降アカウントの安全を確保するべく社内で対応した」と広報担当者は言った。「このほど問題が解決したため情報を公開した」。解決前にバグのことを知った何者かが悪用するのを防ぐために、これまでユーザーへの告知を待ったとTwitterは語った。
影響を受けたTwitterユーザーに送られた警告(画像クレジット:TechCrunch)
Twitterによると、大半のユーザーはAndroidsアプリをアップデートしているので脆弱性はない。しかし、ユーザーの約4%は古い脆弱なバージョンを今も使っているため、できるだけ早くアップデートするよう通知を送ると同社は語った。
多くのユーザーが、この問題を通知するアプリ内ポップアップを目にしているはずだ。
このセキュリティー問題のニュースのわずか数週間前、同社はハッカーの攻撃を受け、犯人は共犯2名と共謀して内部ツールを利用して乗っ取った著名人のアカウントから、送金した金額の2倍を返すと称した暗号通貨詐欺のメッセージを拡散した。詐欺アカウントには他の犯行にによるものと合わせて10万ドル(約1060万円)以上の資金が集まった。
司法省は未成年1名を含む3名を、本事件を起こした疑いで起訴した。
画像クレジット:Josh Edelson / Getty Images
関連記事:Decrypted: How a teenager hacked Twitter, Garmin’s ransomware aftermath(未訳記事)
[原文へ]
(翻訳:Nob Takahashi / facebook)
