2019年12月23日 12時30分セキュリティ

TwitterのAndroid版アプリでアカウントに不正アクセス可能な脆弱性が判明、最新版で脆弱性は修正済み

by Esther Vargas

2019年12月20日、Twitterは「Android版アプリにおいて不正に非公開のアカウント情報を参照したり、アカウントを制御してツイートやダイレクトメッセージを送信できる可能性」がある脆弱性があったと発表しました。

Twitter for Androidにおけるセキュリティ上の問題
https://privacy.twitter.com/ja/blog

We recently fixed a vulnerability within our Android app. To keep your account safe, please update your app as soon as possible. The update is available here: https://t.co/ImcsssBt9b
— Twitter Support (@TwitterSupport)

Twitter Warns Millions of Android App Users to Update Immediately
https://gizmodo.com/twitter-warns-millions-of-android-app-users-to-update-i-1840599338?rev=1577051829679

Twitterの発表によると、新たに発見されたAndroid版Twitterアプリの脆弱性は、Twitterアプリの制限されたストレージ領域に悪意のあるコードを埋め込むことで悪用可能というもの。この脆弱性によって、攻撃者はダイレクトメッセージや非公開ツイート、位置情報などにアクセス可能となり、情報流出のリスクに加えて、第三者によって勝手にツイートが行われたりダイレクトメッセージを送信されたりする可能性がありました。

脆弱性の存在が発表された12月20日の時点で、すでにTwitterは脆弱性を修正済みです。記事作成時点では悪意のあるコードがアプリに埋め込まれたことや、脆弱性が悪用されたことを示す証拠は見つかっていないとのことですが、依然としてTwitterは細心の注意を払って調査している模様。

Twitter公式のツイートによると、この脆弱性はTwitter for Androidバージョン7.93.4(2019年11月4日にAndroid 4.4 KitKat向けにリリース)と、バージョン8.18(2019年10月21日にAndroid 5.0/5.1 Lollipop向けにリリース)で発見・修正されたそうです。

To provide more detail, this issue was fixed in Twitter for Android version 7.93.4 (released Nov. 4, 2019 for KitKat) as well as version 8.18 (released Oct. 21, 2019 for Lollipop and newer). Twitter for Android is no longer supported on Android OS versions older than KitKat.
— Twitter Support (@TwitterSupport)

Twitterは今回の脆弱性に関しての対策を講じており、脆弱性の影響を受けた可能性のあるユーザーに対しては、個別にTwitterアプリまたはメールで安全性を維持するための手順を通知しているとのこと。また、安全性が気になるが何をしたらいいのかわからないユーザーに対しては、速やかにAndroid版Twitterアプリを最新版にアップデートすることが勧められています。

なお、Android版Twitterアプリは以下のGoogle Playページからアップデートすることが可能です。

Twitter - Google Play のアプリ