ニュース

Twitter、「Twitter for Android」からユーザーの個人情報を窃取できてしまう問題を警告

ソフトウェアではなくモバイルエコシステムの脆弱性を悪用

Twitterがユーザーの個人情報を窃取できてしまう問題を警告

 Twitterは11月26日(日本時間)、モバイルソフトウェア開発キット(SDK)“oneAudience SDK”が原因で、ユーザーの個人情報(メール・ユーザー名・最新のツイート)へアクセスし、窃取できる可能性があることを発表した。影響を受けたと思われるユーザーには直接通知するという。

 この問題は、Twitterのソフトウェアに存在する脆弱性ではなく、モバイルエコシステムの脆弱性を悪用したもので、SDK同士の隔離が不十分であることが原因だという。すでに「Twitter for Android」を使用した一部のアカウントで個人情報へアクセスするために問題のSDKが使用された形跡があるが、Twitterアカウントの乗っ取りに使用されたことを示す証拠はないとのこと。また、「Twitter for iOS」が標的となった形跡はないという。

 Twitterは、GoogleとAppleへ“oneAudience SDK”の問題について報告済みで、今後は両社が必要に応じて対応するとのこと。また、そのほかのパートナーへも問題を報告している。

 一方、“oneAudience SDK”を開発したoneAudience社によると、データ収集は意図したものではなく、データベースへの登録や悪用はしていないと主張している。oneAudience社は11月13日に“oneAudience SDK”を更新し、個人情報を収集しないように処置したうえ、11月25日には“oneAudience SDK”をシャットダウンしている。