iPhone版のFacebookアプリのセキュリティに欠陥?

iPhone版のFacebookアプリのセキュリティにわりと重大な欠陥があるみたいなのでご報告。

既にplistファイルにユーザーアカウントが暗号化されずに保存されているという問題は4月頃から有名になっているけど、それと関連するのかしないのかはわからない。

今日、うちの妻が彼女自身のアカウントでiPhoneのFacebookアプリを初めて使ったときに起こった事象:
【訂正あり】

(1)妻がiPhoneのSafariで、妻が彼女自身のアカウントのIDとパスワードでFacebookにログインを試みた
(2)Facebookのログイン後の画面で「iPhone用アプリをダウンロードしますか?」と聞かれたのでダウンロードした
(3)ダウンロードしたFacebookアプリを実行したら、パスワード入力画面などは出ずに、妻のアカウントではなく、僕のアカウントでログインしたことになってしまい、僕のタイムラインが丸見え(僕本人と認証された状態)
(4)このFacebookアプリから一度ログアウトしないと、妻のアカウントでログインすることは不可能だった。


(1)AppStoreからFacebookアプリをダウンロードした>
(2)妻が彼女自身のアカウントのIDとパスワードでログインを試みた
(3)ログインは成功したが、なんと僕のアカウントでログインしたことになってしまい、僕のタイムラインが丸見え(僕本人と認証された状態)
(4)このFacebookアプリを使う限り、妻のアカウントでログインすることは不可能だった。

とりあえず、妻も気味悪がっているのでFacebookアプリはすぐに消去した。
ただし、同じiPhoneのSafariからWEB経由でならきちんと妻のアカウントでログインが出来た。

原因として想像されるのは、妻の使っているiPhone3GSは僕が以前使用していたものの「お下がり」であること。(僕は現在iPhone4Sを使用中)
もちろん、妻に渡したときに初期状態にリセットしてあり、使用しているiTunesも別のPCにインストールされているものだし、ユーザー情報の関連はない状態のはずなんだけど、何らかの理由で僕が使用していたユーザー情報(おそらくplistなのだろう)がiPhone3GSの本体内に残存していて、Facebookアプリが、入力したIDとパスワードを無視してそちらの情報を優先してログインしてしまった…とか?

原因がFacebookにあるのか、アプリの問題なのか、iPhoneの問題なのか、現時点では僕の知識程度では判断できない。
しかし、もし貴方が以前に使用していたiPhoneを中古で誰かに渡したりしている場合、今回のケースと同じように別人が前のユーザー(貴方)としてログインできてしまう可能性があるということであり、注意した方がいいと思う。
(それより重大なのは、自分のアカウントでログインできないことだけど)一度アプリ版からログアウトすればいいみたい。

しかしFacebookにしてもiPhoneにしても、世界を変えるほどの影響力を持ちながら、こういうところでは割とお粗末なもんなんだな、と安心した。(皮肉です)
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

最近の記事
プロフィール

Bonezine

Author:Bonezine
狭い視野で浅はかな発想と奇異な日常を語ります。本気にしちゃだめだよ。

最近のコメント
月別アーカイブ
カテゴリー
最近のトラックバック
ブログ内検索
RSSフィード
リンク
ブロとも申請フォーム

この人とブロともになる