Havebin

Iphone

Apple、顧客データを漏洩させる欠陥によりアプリとの提携を終了c

Havebin
qlamk
0 Comments
Apple、顧客データを漏洩させる欠陥によりアプリとの提携を終了c
Apple、顧客データを漏洩させる欠陥によりアプリとの提携を終了c
AppleのInstagramのセキュリティ上の欠陥

昨日、9to5MacはInstagram用のサードパーティ製ユーティリティアプリ「Exposure」に欠陥があることを警告されました。このアプリは、ブランドとInstagramの投稿者とのつながりを支援し、画像を商業目的で使用するための同意書の収集を自動化します。

偶然にも、AppleはこのツールをShot on iPhoneキャンペーンで使用していました。9to5MacはAppleに連絡を取り、セキュリティ問題を報告しました。調査の結果、数時間後、AppleはExposureサービスとの提携を打ち切りました。(追記:Exposureの親会社からの声明は以下をご覧ください)

フラグが付けられたため、すべてのユーザーデータにアクセスできなくなりました。それ以前は、個人データを含む完了した投稿がエクスプロイトによって公開されており、当該データの取得は容易でした。

システムの欠陥により、Apple が提供した個人データに誰でもアクセスできる状態になった。

9to5Macはこの脆弱性をテストした結果、Appleの「Shot on iPhone」コンテストにノミネートされたInstagramユーザーのユーザーアカウントを発見することができました。このユーザーがAppleの今後のキャンペーンで採用される可能性のある作品の候補に挙がっていたことに加え、アカウントのメールアドレスや応募作品に関するその他のメタデータも明らかになりました。

9to5MacがアクセスできたShot on iPhoneフォームの例。 ユーザーの個人情報は編集されています。

これは全体的には比較的軽微なデータ侵害だが、悪意のあるハッカーであれば、このデータを使ってかなり説得力のあるフィッシング攻撃を仕掛けるのに十分な情報を持っているだろう。

これらのアカウントのユーザーは、提出をさらに進めることに熱心に協力しており、この件に関してすでに企業から正当な連絡を受けているため、最終候補に挙げられたユーザーは特に脆弱なターゲットになると言えるでしょう。

誰かがなりすましメールでAppleになりすまし、偽のApple IDログインフォームへのリンクなどの追加情報を要求し、パスワードを盗んでアカウントを乗っ取った可能性があります。

はっきり言って、しかしながら、このようなことが起こったという証拠はありません。

情報筋によると、Exposureソフトウェアのバグは、12月頃に発生したFacebook Graph APIの変更が原因で発生したとのことです。Exposureは現在、アプリレベルの修正に取り組んでいます。Exposureツールを開発しているIgnite社に問い合わせたところ、以下の声明が提出されました。

Ignite Chute Solutions, Inc.(以下「Chute」)は、ユーザー生成コンテンツ(UGC)の権利管理のためのChuteソリューションを所有・運営する会社です。このソリューションは、Appleが「ShotoniPhone」キャンペーンで使用したツールで、ユーザーがAppleに投稿した画像の使用権を審査・確保するために使用されています。

2019年2月13日午前10時29分(東部標準時)、Chute社は、提出および権利承認プロセス全体を通過したユーザーの情報が他者に漏洩する可能性があることを認識しました。この潜在的な問題は、Appleに審査のために画像を投稿したユーザー全体のうち、ごく一部に限定されていました。Chute社は直ちに問題を調査した後、2019年2月13日午前11時32分(東部標準時)に、問題のあるアプリケーションの関連部分をシャットダウンしました。特定された問題はChute社のソリューションに存在し、Appleのソフトウェアまたはシステムに起因するものではありません。

現時点では、影響を受ける可能性のあるすべての個人の情報が実際に漏洩したと考える理由はありません。また、この問題が他のChute顧客と同様のキャンペーンに参加した可能性のある他の個人に影響を与えたと考える理由もありません。

このような問題が再発しないよう、引き続き根本原因の調査に尽力し、対策を講じていきます。お客様の成功を真摯に受け止め、Appleと、影響を受けた可能性のあるAppleの忠実なファンの皆様に、引き続き全力で対応してまいります。

Appleはサードパーティの契約業者との提携を解消し、「Shot on iPhone」の応募作品に関するデータにアクセスできなくなりました。同社が将来的にこの企業と再び提携するかどうかは不明です。

(2月のShot on iPhoneコンテスト運営は、今回の調査結果による影響を受けません。応募締め切りは2月7日だったため、AppleがExposureとの契約を解除する前に、ユーザーにはすでに連絡が取られていました。)

この問題を私たちに報告してくれた John Zammit 氏に感謝します。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like