2012年7月24日火曜日

【Instagramバグ報告】Instagramで知らない人にあなたの個人情報を見られる可能性が・・・

  • このエントリーをはてなブックマークに追加
みなさんは今年4月にFacebookが10億ドルで買収した写真共有サービスInstagramのユーザー、5000万人のうちの1人でしょうか?

もしそうなら、最近、スペインのセキュリティ研究者であるセバスチャン・ゲレロ氏によって報告された脆弱性を修正するためのInstagramのアップデートを行うことをオススメします。

"友情の脆弱性"とゲレロ氏が比喩するこの脆弱性とは、見知らぬ人が自分自身をあたかも友達としてあなたのInstagramアカウントに追加することができ、しかも非公開にしていた写真をも閲覧する権限も与えられてしまうのです。


[最新情報:この元記事が公開された約4時間後、Instagramは、ヘルプセンターにおいて“フォローバグ”として検知した脆弱性についてはすでに修正されていると告知しました。また次のようにも言及しています。「存在したバグは、決してユーザー情報を危険にさらすようなものではございません。また非公開の写真が公開されるような事例もございません。」まるでゲレロ氏が述べたものに対抗しているようにも見えます。おそらくこれについては彼も反論があるでしょう。また引き続き更新していきたいと思います。]


Instagramとは?

Instagramとは、AndroidやiOS(iPhone、iPad、iPodなど)搭載のモバイルデバイス用の最も成功しているアプリの1つです。

Instagramは、撮影した写真にレトロやヴィンテージスタイルなどの凝ったフィルタを施し、それらを複数のソーシャルネットワーク間で共有することができます。

モバイルデバイスからInstagramに簡単にサインアップでき、その後InstagramのWebサイト経由でサービスにアクセスすることが可能です。

Instagramの脆弱性:ESETセキュリティブログ

Instagramのバグ:特定ユーザーの個人情報にアクセスできてしまう

Instagramがユーザーのプライバシーをどのように取り扱うかについての脆弱性について知ったとき、ユーザーはどう思うでしょうか?

ゲレロ氏のスペイン語でのプログ英語訳はここから)によると、この脆弱性の穴はかなり大きく、例えば、悪意のある人が有名人にフォローされている人々のグループに入り込み、特定のユーザーが作成したイメージや彼らの個人情報にアクセスすることができてしまうのです。

この "友情の脆弱性"は、さらに、個人的なアルバムにも影響を与えます。見知らぬ人が、非公開設定している自分のアルバムにアクセスし、保管されている写真を見ることもできてしまいます。

セバスチャン・ゲレロ氏は、彼のブログ英語訳は現在ペーストビンにあります)の中で、この脆弱性がどのように動作するかの詳細を説明しています。

基本的には、入力上のコントロールの欠如、製品版には発見されるべきではない種類のプログラムのミス、不十分なコードレビューとプリプロダクションテストの欠如などを指摘しています。


Instagramのバグを利用してMark Zuckerbergへメッセージを送信

ゲレロ氏は、例として彼自身をマーク・ザッカーバーグからフォローされている人々に追加して、Facebookの億万長者に宛ててInstagramの買収をお祝いするメッセージを送信してみたそうです。

InstagramでMark Zuckerbergへ送った祝福写真 : ESETセキュリティブログ

Instagramのバグへの対処方法

この脆弱性が解決されるまでの間、すべてのInstagramユーザーに向けての、私達からの最善のアドバイスは、機密画像をこのアプリを使用して保存しないことです。なぜなら、この脆弱性を悪用して、誰でもがあなたのプロフィールにアクセスして、それを見ることができるからです。

また、この脆弱性を悪用しようと考えている人がいるならば、私たちは警告します。

フロリダ州のジャクソンビル出身のある男性は、歌手クリスティーナ・アギレラ、ヌード写真がインターネット上に流出された女優スカーレット・ヨハンソンを含む一握りの有名人の個人のメールアカウントに不正にアクセスを行った容疑で、ロサンゼルス連邦裁判所での判決を宣告されるまであと約数日を残すところとなってます。

ジャクソンビルタイムズユニオンは、35歳のクリストファー・チェイニーは“7月23日には懲役60年および罰金およそ200万ドルの判決が下されるであろう事実に直面している”と報じています。

チェイニー氏は、すでに連邦政府の保護の下で判決を待っている状態にあるので、その日を逃れることはないでしょう。


Instagramの所有者であるFacebookが、この脆弱性に対するどのような制裁に直面することになるかは今のところ不明です。ただ、 Facebookはすでにユーザーのプライバシー保護に関する虚偽の主張について、20年の連邦取引委員会による和解提議を受けていることからも、連邦取引委員会は今回の問題についても調査を行うのではないかと思われます。


出典:blog.eset.com
ESETロゴ:ESETセキュリティブログ
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る