多数のアプリのOAuth実装、脆弱と判明
「10億を超えるモバイルアプリのアカウント、簡単なハックで遠隔乗っ取り可能と判明」
OAuthは「ユーザ認証を他サイトに任せる」ことができるため、多くのサイトやアプリで使われています。いわゆる「facebookでログイン」「google+でログイン」「twitterでログイン」とかですね。それぞれでユーザ登録する必要がないので便利です。アカウントを紐づけされたくない人は使えませんが。
しかし、香港の大学の研究者たちがandroidアプリ(米国と中国から、数百ほど)を調査した結果、多数のアプリが送られてくるデータを検証せず、単に含まれるIDだけを使っていることが判明しました。
この場合、悪意ある者が自由にIDを設定することで、他人のアカウントを乗っ取ることが可能です。もちろんIDは取得できないといけませんが、比較的簡単に入手できる場合が多いはず。
彼らはiOSアプリについては未検証ですが、おそらくそれほど変わらないものと推測しています。