セキュリティ上の欠陥で出会い系アプリGrindrのアカウントを一時的に誰でも乗っ取ることできた

#アナタノミカタ　

セキュリティ上の欠陥で出会い系アプリGrindrのアカウントを一時的に誰でも乗っ取ることできた
AI.

ゲイ、バイセクシャル、トランスジェンダー、クィア向けの世界最大級の出会い系・ソーシャルネットワーキングアプリ「Grindr」は、メールアドレスだけを使って誰でもユーザーのアカウントを乗っ取り、支配することができるセキュリティ上の脆弱性を修正した。

フランスのセキュリティ研究者であるWassime Bouimadaghene（ワシメ・ブイマダジェンヌ）氏は、この脆弱性を発見し、Grindrに問題を報告した。しかし返事がなかったため、同氏はセキュリティ専門家のTroy Hunt（トロイ・ハント）氏経由で脆弱性の詳細を伝えた。すると脆弱性はしばらくして修正された。

ハント氏は、Scott Helme（スコット・ヘルム）氏が設定したテストアカウントの助けを借て脆弱性をテストして確認し、その結果をTechCrunchと共有した。

ブイマダジェンヌ氏は、アプリがアカウントのパスワードリセットを処理する方法に脆弱性を発見した。

通常パスワードをリセットするには、Grindrはユーザーにアカウントのパスワードリセットトークンを含むクリック可能なリンクを添付した電子メールを送信する。該当リンクがクリックされると、ユーザーはパスワードを変更することができ、アカウントへの復帰が許可される。

しかし同氏は、Grindrのパスワードリセットページが、パスワードリセットトークンをブラウザに漏らしていることを発見した。つまり、ユーザーの登録メールアドレスを知っている人なら誰でもパスワードリセットを発動させることができ、場所さえわかればブラウザからパスワードリセットトークンを集めることができたのだ。

ユーザーの受信箱にしか送られないはずのGrindrアカウントのパスワードリセットに使われていたシークレットトークンが、ブラウザに流出していた（画像クレジット：Troy Hunt）

Grindrがパスワードリセットのために生成するクリック可能なリンクは同じようにフォーマットされている。つまり、悪意のあるユーザーがブラウザから流出したパスワードリセットトークンを使用して、独自のクリック可能なパスワードリセットリンク（ユーザーの受信トレイに送信されたリンクと同じもの）を簡単に作成できることを意味する。

悪意のあるユーザーはこのリンクを使って、アカウント所有者のパスワードをリセットし、アカウントの写真、メッセージ、性的指向、HIVの状態、最後の検査日など、アカウントに保存されている個人データにアクセスすることができる。

「これは、私が見た中で最も基本的なアカウント乗っ取りのテクニックの1つです」とハント氏は指摘している。

流出したパスワードリセットトークンを使えば、攻撃者はユーザーのパスワードをリセットし、アカウントを乗っ取り、個人データにアクセスすることができる（画像クレジット：Troy Hunt）

Grindrの最高執行責任者を務めるRick Marini（リック・マリーニ）氏は声明で「脆弱性を特定した研究者に感謝しています。報告された問題は修正されています。ありがたいことに、悪意のある当事者に悪用される前に問題に対処できたと考えています」とTechCrunchに語った。

「当社のサービスの安全性とセキュリティを向上させる取り組みの一環として、当社は大手セキュリティ企業と提携し、セキュリティ研究者がこのような問題を報告する能力を簡素化し、向上させています。さらに、今後もサービスの安全性を維持するために、研究者の皆様にさらなるインセンティブを提供するため、新しいバグバウンティプログラムを近日中に発表する予定です」と同社は述べている。

Grindrのユーザーは約2700万人で、毎日約300万人がこのアプリを利用している。Grindrは今年初めに元中国の所有者である北京昆侖（Beijing Kunlun）によって、ロサンゼルスを拠点とする会社に売却された。同社の中国での所有が、国家安全保障上の脅威となっているという非難を受けてのことだ。

昨年Grindrは、中国の所有権下にある間、北京のエンジニアにプライベートメッセージやHIVの状態を含む何百万人もの米国ユーザーの個人データへのアクセスを許可したと報告されていた。