ここ1週間ほどiOSアプリの売上トップクラスだったQuizUpには「衝撃的な」セキュリティホールがたくさんあると、競合する人気クイズゲームTriviumの開発者Kyle Richter氏がブログ記事で主張している。

私が見つけたものは、最初は驚き、そして衝撃的なものでした […]

彼らは実際には、他のユーザーの個人情報をプレーンテキスト（ハッシュ化されていない）でiPhoneまたはiPod touchに直接送信しています。送信された情報には、氏名、Facebook ID、メールアドレス、写真、性別、誕生日、さらにはユーザーの現在地の位置情報などが含まれますが、これらに限定されません。

私は何百人もの人々の個人情報にアクセスすることができました。彼らは面識もなく、QuizUpを使っていたという以外、交流もありませんでした。彼らも同様に私の個人情報にアクセスできました。重要なのは、これらの人々はアプリ内で私を友達として追加した人たちではなく、あらゆる意味で全くの赤の他人だったということです… 

TechCrunch が指摘しているように 、傍受されやすい方法で暗号化されていない機密データを送信したことがまさに Path にとって問題となり、FTC との 80 万ドルの和解に至った。

リヒター氏は使用したエクスプロイトの詳細について言及を避けたが、QuizUpの開発元であるPlain Vanillaには詳細情報を提供した。Plain VanillaのCEOであるThor Fridriksson氏は、ブログの記述には不正確な点があると主張しているものの、TechCrunchへの声明では脆弱性が存在することを認めている。

サードパーティ製ネットワークライブラリのバグにより、この暗号化が場合によっては弱まる可能性があります。この問題はAppleのアップデート審査待ちで修正済みです。ユーザーのパスワードは、データベースに保存する前にハッシュ化されます。ユーザーのFacebookアクセストークンは、クライアントにプレーンテキストで保存されることはありません。

ユーザーのアドレス帳はサーバーに保存されておらず、友達を見つけるために一時的にのみ使用されます。アドレス帳の内容をサーバーに送信する前にハッシュ化していなかったのは誤りでした。現在、クライアントアプリケーションを変更し、アドレス帳の内容をサーバーに送信する前にハッシュ化するようにしています。

主な問題は、データの送信に SSL が使用されているにもかかわらず、連絡先データと Facebook アクセス トークンの両方がプレーンテキストで送信され、簡単に傍受される可能性があることです。

執筆時点では、Plain Vanillaはサーバーの修正はすでに完了しており、アプリの改訂版はAppleの承認を待っている状態だと述べている。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。