パスワードを忘れた? アカウント作成
15818883 story
Facebook

Facebookログイン情報を盗むアプリ400本以上、AppleとGoogleの公式ストアで見つかる 11

ストーリー by nagazou
ご注意 部門より
headless 曰く、

Apple と Google の公式アプリストアで Facebook のログイン情報を盗み取ろうとするアプリが今年 400 本以上見つかったとして、Meta がユーザーに注意喚起している (Meta のニュース記事The Verge の記事Neowin の記事9to5Mac の記事)。

これらのアプリは便利なツールや楽しいゲームのふりをしてインストールさせ、実行に必要だとして Facebook へのログインを要求するという。アプリストアでの否定的なレビューを隠すため偽レビューも投稿する。一度ログインを許可してしまうと、攻撃者はアカウントへのフルアクセスが可能となり、友達にメッセージを送ったり、個人情報にアクセスしたりすることも可能になる。

そのため、ソーシャルメディアのログイン情報を要求するアプリは疑ってかかるべきであり、アプリをダウンロードする前に否定的なレビューを含めてアプリの評価を確認すべきであるとのこと。また、約束している機能が本当に提供されるかどうかの確認も必要だ。

悪意あるアプリを万が一ダウンロードしてソーシャルメディアなどのログイン情報を入力してしまった場合、アプリを削除してパスワードをリセットし、2 要素認証 (認証アプリを使用するのが望ましい) やログインアラートを有効化するよう Meta では推奨している。

Meta が発見した悪意あるアプリは Android アプリが 355 本、iOS アプリが 47 本。フォトエディターが 42.6 % と多く、ビジネスアプリ (15.4 %) とスマートフォン活用ツール (14.1 %)、ゲーム (11.7 %)、VPN (11.7 %) が続く。Apple と Google には記事公開前に連絡しており、App Store と Google Play ではすべてのアプリが削除済みとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年10月11日 18時18分 (#4342259)

    手前味噌?

    • by Anonymous Coward

      META が個人情報を盗むのではないMETAを悪用するものが盗むのだ。

  • by Anonymous Coward on 2022年10月11日 18時30分 (#4342276)

    ここ10年ぐらいで「googleアカウントでログイン」ってサイトが増えてて、既存のアカウントを使ってのログインが普通になっている。
    だから「SNSでログイン」なんてのがあっても、それがフィッシングかなんて一般ユーザーは疑わないでしょ。

    #私はこの手のログイン使ったことない

    • by Anonymous Coward

      LINEや出前館でしか持ち帰り予約できない外食店とかな

    • by Anonymous Coward

      フィッシングではないことは分かっているがパスワード忘れの際の手順に脆弱性があるサイトへ登録せざるを得ない時に、緩和策として使ってる。

    • by Anonymous Coward

      この手のでアプリ内ブラウザで完結するやつは使わん事にしている。

  • by Anonymous Coward on 2022年10月12日 1時10分 (#4342394)

    「●▲アカウントでログイン」って

    ・その会社(この場合は●▲)がサービス終了したらどうなるの?
    ・●▲アカウントと利用状況が紐付けされてしまう可能性は?(Apple IDの場合は対策してると聞くが)

    上記2個が不安で使う気が起きない

    • by Anonymous Coward

      その会社が安泰だとしても、何かの手違いででもアカウント停止などになったら詰むしな。

  • by Anonymous Coward on 2022年10月12日 9時10分 (#4342464)

    アプリのインストール時に必要な権限を表示するように戻したらどうですかね。
    かつては権限を見たうえでインストールするかしないか選べたと思うのですが。

    • by Anonymous Coward

      その指摘は的外れ。アプリの権限が確認出来た所で、この手法に必要なのは「インターネットアクセス」だけなので関係無い。

      一応SNSとの連携画面で何の権限を与えるか表示されるが、アプリインストール時の物とはまた別。

      • by Anonymous Coward

        ネット接続自体をファイヤーウォールみたいにアプリごとで禁止すれば

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...