サードパーティ製のSnapchatアプリをご利用の方は、できるだけ早くアプリを削除し、ソーシャルメディアプラットフォーム上のパスワードを変更することをお勧めします。本日発表された新たな情報によると、複数のサードパーティ製Snapchatアプリが、ユーザーの認証情報のコピーを安全でない接続経由で自社サーバーに送信していることが判明しました。

Sudo Security Groupのウィル・ストラファック氏は、アプリセキュリティに関する調査中に、Snapchatの認証情報を収集するアプリを発見しました。同社が近日公開予定のモバイルアプリ情報システム「Verify.ly」は、アプリをスキャンし、ユーザーのプライバシーを尊重し、インターネット経由で安全な方法でデータを送信しているかどうかを検出します。調査を通して、彼は安全でない接続を介してSnapchatの認証情報を送信しているアプリをいくつか発見しました。

彼が最初に注目したアプリはSnapixでした。これは、ユーザーのカメラロールからSnapchatストーリーに画像をアップロードしたり、友達に直接アップロードしたりできる機能を誇るアプリです。ストラファッチ氏は、ユーザーがSnapixにSnapchatのログイン情報を入力すると、その情報は安全でない接続を経由してSnapixのサーバーに渡され、その後Snapchatに認証情報が渡されることを発見しました。これにより、アプリはユーザーをSnapchatにログインさせたまま、ユーザーの認証情報を収集することが可能になります。

認証情報が安全でない接続で送信されていること自体が問題ですが、そのコピーをサーバーに送信する正当な理由はありません。安全でない接続でデータを送信するということは、アプリが公共のWi-Fiネットワークで実行された際に認証情報が傍受される可能性があることを意味します。つまり、空港、カフェ、ホテル、学校、あるいは職場のWi-Fi接続で悪意のある人物が認証情報を盗み出し、勝手に利用されてしまう可能性があるということです。このセキュリティ問題はAppleに報告されており、rdar://problem/24986994で確認できます。

Snapixの脆弱性を発見した後、ストラファック氏は同様のパターンに当てはまるさらなる問題を調査することにしました。彼は、安全でないプレーンテキスト接続を使用して情報を送信するQuick UploadとSnapBoxという2つのアプリケーションを発見しました。

さらに悪いことに、一見異なる開発者によるこれらの異なるアプリケーションは、どちらも同じサーバー「likepotion.topranksoft.com」に情報を送信していました。さらに、SnapBoxは何らかの理由で、ユーザーの正確なGPS位置情報もサーバーに送信していました。これは、ユーザーが「新しい」または「より安全な」サードパーティ製アプリケーションを使用していると思い始めても、悪意のある開発者のエコシステム内に潜んでいる可能性があることを示しています。

わずか4ヶ月前、私たちは、まさにこの行為を理由にApp Storeから削除されたサードパーティ製のInstagramアプリについて報じました。私たちからのアドバイスは、ソーシャルネットワーキング体験に追加機能や「ハック」を謳うサードパーティ製アプリは使わないことです。こうしたアプリの多くは、サービスへの認証に正式な手段を用いていないため、ユーザーを悪意のある攻撃に晒す可能性があります。正規のアプリは、まずSafariを使ったログイン機能を提示するか、人気のサードパーティ製TwitterクライアントのようにSafari View Controllerを表示することで、OAuth認証を試みます。OAuthを利用していない場合、認証情報の盗難を防ぐ最善策は、公式のファーストパーティ製アプリのみを使用することです。

これらの問題は、App Storeの審査チームの問題がどの程度で、ユーザーの問題がどの程度なのかという疑問を提起します。App Storeでは、今後二極化が進むと思われます。ユーザーはより多くのアプリがApp Storeに受け入れられることを望む一方で、アプリのセキュリティが適切に審査されることも望んでいます。Appleが採用する解決策としては、Strafach氏のVerify.lyのようなシステムの導入が考えられます。潜在的な脆弱性の発見を自動化することで、App Storeの審査プロセスは厳格化される一方で、ユーザーの安全性は全体的に向上するでしょう。

App Storeの審査チームがデューデリジェンスを実施した後、セキュリティと安全性は最終的にユーザーの手に委ねられます。ユーザーは、より優れたセキュリティ対策と、それらがどのように破られるかという進化する仕組みについて学ぶべきです。新しいソーシャルメディアアプリが明日リリースされ、その後すぐにサードパーティ製のアプリがリリースされるかもしれません。ユーザーは、サードパーティ製のアプリが信頼できるかどうか、ましてやオリジナルのファーストパーティアプリが安全な対策を講じているかどうか、どうやって判断できるでしょうか？

AppleがiOSアプリのデータをインターネット経由で送信する方法に関して、さらに厳格化する可能性は十分にあります。iOS 9で既にApp Transport Securityを実装しており、少なくとも開発者に対し、より安全な方向への誘導を開始しています。他の開発者が既存のセキュリティ対策を回避しようとした際に、問題が再発する可能性があります。

Verify.ly はサービス開始後、ユーザーに限定的な接続関連情報を無料で提供し、アプリを使用する前にそのアプリについてより深く理解できるようにします。Strafach のチームが分析すべきと思われるアプリがありましたら、下のコメント欄でお知らせください。お送りいたします。

詳しい情報と質問を得るために Snapchat に連絡しており、返答が届き次第更新します。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。