fossBytesに11月5日(米国時間)に掲載された記事「This Simple Hack Can Hijack More Than 1 Billion Android App Accounts」が、AndroidアプリのOAuth 2.0実装に問題があり、遠隔からの攻撃で攻撃者によって対象のアカウントの個人情報が窃取される危険性があると伝えた。簡単な方法であるうえ、すでにこうした脆弱性を抱えたアプリは10億回を超えてダウンロードされていると説明があり注意が必要。
最近のモバイルアプリやWebアプリはOAuth 2.0を使ったサインオンの機能を提供している。この機能を利用すると、Google、FacebookまたはTwitterといった既存のアカウントをログインのための認証情報として利用できる。サービスを利用するために新しくアカウントを発行する場合、ユーザーに敬遠されることがあるが、よく使われているアカウントをそのまま認証情報として使うことができれば、ユーザーの利便性が高まるため、この方法がよく使われている。
今回研究者らは米国および中国のAndroidアプリストアで公開されている人気の高いアプリについて調査し、その41%ほどがシングルサインオンをサポートしているという調査結果を発表。さらに、OAuth 2.0の実装に問題があり、一旦認証をクリアしたユーザーがほかのユーザーになりすますことが可能な状態になっていることを指摘した。
こうしたアプリはすでに合わせて10億回以上ダウンロードされていると説明があり、多くのアプリがこの脆弱性を抱えているものと見られる。