「10億を超えるモバイルアプリのアカウント、簡単なハックで遠隔乗っ取り可能と判明」

thehackernews.com

OAuthは「ユーザ認証を他サイトに任せる」ことができるため、多くのサイトやアプリで使われています。いわゆる「facebookでログイン」「google+でログイン」「twitterでログイン」とかですね。それぞれでユーザ登録する必要がないので便利です。アカウントを紐づけされたくない人は使えませんが。

しかし、香港の大学の研究者たちがandroidアプリ（米国と中国から、数百ほど）を調査した結果、多数のアプリが送られてくるデータを検証せず、単に含まれるIDだけを使っていることが判明しました。

この場合、悪意ある者が自由にIDを設定することで、他人のアカウントを乗っ取ることが可能です。もちろんIDは取得できないといけませんが、比較的簡単に入手できる場合が多いはず。

彼らはiOSアプリについては未検証ですが、おそらくそれほど変わらないものと推測しています。