TwitterおよびFacebookは、アカウントと連携した一部Androidアプリが個人データに不正アクセスできた可能性があると発表しました。
これらは両社のシステムに脆弱性があったわけではなく「oneAudience」というモバイルSDK(ソフトウェア開発キット)によるものとのこと。Twitterはアカウントに連携したアプリを確認した上で、信頼できないアプリの削除や、使用しなくなったアプリの連携を取り消すことを呼びかけています。Twitterの発表によると、セキュリティ研究者から、サードパーティ開発者がoneAudienceを介して個人データにアクセス可能とのレポートを受け取ったとのこと。これを悪用することで、電子メールやユーザー名、最新ツイートといった個人情報を盗み取れる可能性があると判断したと述べています。
こうしたアプリには、GiantSquareやPhotofyなどのアプリが含まれています。ただし、この脆弱性が実際にアカウント乗っ取りに使われた証拠はないとのこと。その一方iOS版のoneAudienceに関しては、iOS版のTwitterアプリに不正アクセスした証拠はないとされています。
Twitterはこの問題の影響を受けた可能性のあるAndroid版Twitterアプリのユーザーに通知するとともに、Googleとアップルに脆弱性を通知し、さらなる措置を講じることもできると告知しています。
そしてFacebookは、oneAudienceに加えてMobiburn(oneAudienceと同様の機能を提供する別のSDK)に脆弱性があったとして、これらを使用したアプリをポリシー違反としてプラットフォームから削除。さらに両SDKに対して停止および破棄の通告をしたと発表しています。
さらにFacebook広報担当者が米Engadgetに対して、oneAudienceとMobiburnを使用したアプリは、名前やメール、性別などの情報をSDKを作成した会社と共有できるとも述べました。そして950万人の人々に、個人情報が盗み取られた可能性があると通知する予定とのことです。
今回の脆弱性はTwitterやFacebookのシステムに欠陥があったわけではありません。が、その外に広がるエコシステムそのものの問題が表面化したことで、より対処は困難とも言えます。サードパーティ製アプリやサービスをSNSのログイン情報に紐付けるときは、それらの素性を慎重に精査した方が良さそうです。