脆弱性発見報奨金プログラムのHackerOneを通し、filedescriptorさんより、Twitter Kit for iOSに脆弱性があるとの報告をいただきました。
今回の報告により、Twitter Kit for iOS のバージョン3.0から3.2.1において、攻撃者が「Twitterでログイン」機能を使ったアプリに未認証ユーザーの承認トークンを利用することで、強制的にTwittterアカウントをサードパーティサービスと紐付けることができる脆弱性が確認されました。この脆弱性は2017年11月28日にリリースされたTwitter Kit for iOSバージョン3.2.2で解決されていますので、「Twitterでログイン」機能をお使いの開発者の方は、速やかに最新のバージョンにアップデートをお願いします。なお、この脆弱性の問題はTwitter Kit for Androidでは影響がありません。
Twitterは利用者の皆さんをお守りし、安心してご利用いただけるように努力を続けています。今回、セキュリティコミュニティのご協力を得て、このような脆弱性が解決できたことを嬉しく思います。コミュニティにご協力くださっている皆さん、どうもありがとうございます。
誰か・・・Cookieって言いましたか?
XとそのパートナーはCookieを使用して、より高品質で安全かつ
迅速なサービスを提供しており、また、Cookieの使用は私たちのビジネスを支えています。Cookieの中には、Xのサービスをご利用いただくため、
サービス改善のため、そしてサービスが適切に動作することを確実にするために必要となるものがあります。ユーザーが選択できるオプションの詳細については
あなたの選択肢の詳細を見る。