iOSとAndroid版公式Facebookアプリに脆弱性、情報漏えいの恐れ

Facebookは公式モバイルアプリの脆弱性を発見した開発者からの通報を受けて現在修正中だが、この開発者は端末で公共のPCや充電サービスを利用するのは危険だと警告している。 米FacebookのiOSおよびAndroid向け公式アプリの脆弱性を悪用すれば、他人のアカウントでログインできる――。開発者のギャレス・ライト氏が4月3日（現地時間）、自身のブログで報告した。同氏はこの脆弱性をFacebookに報告し、Facebookは現在アプリを修正中という。 ライト氏によると、自分の端末をPCに接続し、無料のPC向けファイル管理ツール「iExplorer」を使ってFacebookアプリが端末に保存しているデータを調べたところ、ユーザー設定ファイルの「com.Facebook.plist」が暗号化されずにプレーンテキストとして保存されているのが分かった。このファイルを他の端末にコピーしたところ、そ

[Hamachiya2]

「公共の場にあるPCにデータを収集するツールが仕込まれていれば」　え、それ言い出したらfacebookに限らず何やっても危なくない？

[mainyaa]

Facebook関係ない。公共のPCに通信ケーブルで繋ぐというのはそういうこと。

[invent]

iOSとAndroid版公式Facebookアプリに脆弱性、情報漏えいの恐れ - ITmedia エンタープライズ

[t-tanaka]

脆弱性じゃない。信頼できない機器にワイヤーでつないだ時点でアウト。

[mattarin]

Androidではroot権限取れないと無理？

[koogawa]

「公式アプリがインストールされた端末で、公共のPCや充電サービスを利用するのは危険」

[satohu20xx]

脆弱性というかなんというか。

[ikd9684]

plist に書く情報も適切に暗号化しないと iOS アプリの脆弱性になると。

[rytich]

悪意がある人に「物理的に端末に接触」させることに問題があるような

[mollifier]

問題はplistファイルが暗号化されずに保存されていることにあるとしている

[isano]

流石ですな

[asuka0801]

他の人に端末貸さなければ問題はなさそう

[kazutan711]

記事の最後にあるようにこの脆弱性はFacebookだけじゃなくて他のアプリでも問題になるんじゃないかなぁ

[Room335]

しばらく様子見か。。。

[otchy210]

iExplorer 使うと、脱獄してなくても、ロック状態のままでも、plist 取れるってのは知っておいた方がいいかも。いや、使う側としては便利なんですけどね。

[myrmecoleon]

FacebookもDropboxもiPhone内のアカウント情報はプレーンテキストのまま。何かの接続時にファイルを盗めばそのまま別のiPhoneでログインできてしまうと

[lait_9baka]

こういうアプリいっぱいあるよね。OSの仕様上難しい問題だと思う。iOSは一応パスコードロックを掛けた状態では中身覗けないとは思うけど

[at_yasu]

Sessionキーとか保存しとるから、それをどうにかしたらよさげっぽい。KeychainにSessionキーを突っ込んだらいいんでね。

[Gesaku_G]

暗号化無しですと！？

[inusoucho]

注意せにゃあ