iOSアプリ「KLIK」に脆弱性、ツイッターなどのアカウントが乗っ取られる危険性アリ|セキュリティ・マネジメント|トピックス|Computerworld

個人セキュリティ・リサーチャーのアシュカン・ソルタニ（Ashkan Soltani）氏が、顔認識技術企業のFace.comが提供するiOSアプリ「KLIK」に脆弱性を発見した。攻撃者がこの脆弱性を利用すると、KLIKユーザーのFacebookやTwitterアカウントを乗っ取ることも可能だったが、face.comはすでに修正パッチをリリースしたという。 Face.comが顔認識技術を元に開発したKLIKは、新しい写真を撮影した際、ユーザーのFacebookの写真アルバムをスキャンし、簡単に友人の名前をタグ付けできるカメラアプリだ。 KLIKを利用するには、Facebookアカウントへのアクセスをユーザーが許可する必要がある。また同アプリはTwitterとの連携機能もあり、つぶやきを自動的に投稿することもできる。 しかし、KLIKに見つかった非常に単純な脆弱性を利用すると、同アプリのユーザー

[laiso]

”FacebookやTwitterの認証キーである個々の「OAUTH」トークンを、Face.comが同社サーバーに保存する方法が安全でないため、すべてのKLIKユーザーのアカウント情報にアクセスできる状態だったという。” ってどういうことだろ