- FacebookのAndroid SDKにセキュリティホール, 対応済みだがマイナーなアプリには不安が? (TechCrunch: 4/11)
上記の記事ではログの全容がわからなかった為、実機で確認したいのですが現在検証環境がなく原因は未確認です。すいません。
今回のFacebookSDKが該当するかは確認できていませんが、クエリストリングに秘密にしておくべき情報(パスワードやアクセストークン)を含めたURLをIntentすることで同様の脆弱性を抱える事になります。
そもそもアクセストークンをGETで送る事自体いかがなものかという話なのですが…。
そういえばFacebookは過去にも似たような脆弱性がありましたね。
- Facebook アプリケーションが意図せずアクセス情報をサードパーティに漏洩 - 更新 (Symantec: 2011/5/19)
0 件のコメント:
コメントを投稿