Twitter Kit for iOSの脆弱性について

脆弱性発見報奨金プログラムのHackerOneを通し、filedescriptorさんより、Twitter Kit for iOSに脆弱性があるとの報告をいただきました。

今回の報告により、Twitter Kit for iOS のバージョン3.0から3.2.1において、攻撃者が「Twitterでログイン」機能を使ったアプリに未認証ユーザーの承認トークンを利用することで、強制的にTwittterアカウントをサードパーティサービスと紐付けることができる脆弱性が確認されました。この脆弱性は2017年11月28日にリリースされたTwitter Kit for iOSバージョン3.2.2で解決されていますので、「Twitterでログイン」機能をお使いの開発者の方は、速やかに最新のバージョンにアップデートをお願いします。なお、この脆弱性の問題はTwitter Kit for Androidでは影響がありません。

Twitterは利用者の皆さんをお守りし、安心してご利用いただけるように努力を続けています。今回、セキュリティコミュニティのご協力を得て、このような脆弱性が解決できたことを嬉しく思います。コミュニティにご協力くださっている皆さん、どうもありがとうございます。