人気の電話追跡アプリ「iSharing」のセキュリティバグにより、ユーザーの正確な位置情報が漏洩

Cemubo vgnpne 0
Vision
人気の電話追跡アプリ「iSharing」のセキュリティバグにより、ユーザーの正確な位置情報が漏洩

先週、広く使われている電話追跡アプリの何百万人ものユーザーの中から正確な位置情報を簡単に入手できるとセキュリティ研究者が発言したとき、私たちはそれを自らの目で確かめざるを得なかった。

バンクーバーのブリティッシュコロンビア大学でコンピュータサイエンスと経済学を学ぶエリック・デイグル氏は、位置情報追跡アプリのセキュリティ調査の一環として、位置情報追跡アプリ「iSharing」の脆弱性を発見した。iSharingは最も人気のある位置情報追跡アプリの一つで、現在までに3,500万人以上のユーザーを抱えている。

デイグル氏によると、これらのバグにより、アプリを使用している誰もが、たとえユーザーが位置情報を積極的に共有していなくても、他のユーザーの座標にアクセス可能になったという。また、バグによって、ユーザーの名前、プロフィール写真、アプリへのログインに使用したメールアドレスと電話番号も漏洩した。

このバグは、iSharing のサーバーが、アプリのユーザーが自分の位置情報データ、または自分と共有されている他のユーザーの位置情報データにのみアクセスできることを適切に確認していなかったことを意味していた。

位置追跡アプリ(ステルス型の「ストーカーウェア」アプリを含む)には、ユーザーの正確な位置情報が漏洩したり露出されたりするリスクのあるセキュリティ事故が発生した歴史がある。

今回のケースでは、デイグル氏は記者の位置を数フィート離れた場所までわずか数秒で特定しました。iSharingアプリをインストールしたAndroidスマートフォンと新規ユーザーアカウントを使い、研究者にバグを使って正確な位置を特定できるか尋ねました。

「マンハッタンのブロードウェイ770番地ですか?」デイグル氏は、携帯電話が現在地を送信しているニューヨークのテッククランチのオフィスの正確な座標とともに答えた。

テッククランチイベント

サンフランシスコ | 2025年10月27日~29日

iSharing アプリのスクリーンショット。ニューヨークにある TechCrunch のオフィスの上に地図マーカーが表示されている。セキュリティ研究者はここで iSharing API から私たちの位置データを取得することができた。
セキュリティ研究者は、iSharingのサーバーから私たちの正確な位置情報を取得しましたが、アプリは私たちの位置情報を他の誰とも共有していませんでした。画像クレジット: TechCrunch(スクリーンショット)画像クレジット: TechCrunch(スクリーンショット)

デイグル氏は約2週間前にiSharingに脆弱性の詳細を伝えましたが、何の返答もありませんでした。そこでデイグル氏はTechCrunchにアプリ開発者への連絡について支援を依頼しました。iSharingは4月20日から21日の週末にかけて、その直後にバグを修正しました。

「この問題を発見し、私たちが先手を打つことができたのは研究者のおかげだと感謝しています」と、iSharingの共同創業者であるヨンジェ・チュー氏はTechCrunchへのメールで述べた。「現在、私たちのチームではセキュリティ専門家と協力し、すべてのユーザーのデータが確実に保護されるよう、必要なセキュリティ対策を追加する計画を立てています。」

iSharingは、この脆弱性はユーザーが他のユーザーと位置情報を共有できる「グループ」と呼ばれる機能に起因すると主張した。Chuh氏はTechCrunchに対し、同社のログには、Daigle氏の発見以前にこれらのバグが発見されていた証拠は見つかっていないと述べた。Chuh氏は、同社のサーバーがユーザーが他のユーザーのグループに参加できるかどうかの確認に失敗していたため、「当社側の見落としがあった可能性がある」と認めた。

TechCrunchは、Daigle氏が修正を確認するまでこの記事の公開を保留した。

「最初の欠陥を見つけるのに、アプリを開いてリクエストの形式を理解し、別のユーザーのグループを作成して参加すると機能することを確認するまで、合計でおそらく1時間ほどかかりました」とデイグル氏はTechCrunchに語った。

そこから、彼はセキュリティバグを証明する概念実証スクリプトの作成にさらに数時間を費やしました。

デイグル氏は自身のブログで脆弱性についてさらに詳しく説明し、ストーカーウェアと位置追跡の分野で研究を続ける予定だと述べた。

TechCrunchでさらに詳しく読む:

  • 家族追跡アプリがリアルタイムの位置情報データを漏洩していた
  • 数千人をスパイするストーカーウェアネットワーク「TheTruthSpy」の内部
  • Androidスマートフォンにストーカーウェアが潜んでいる可能性があります。削除方法はこちらです。
  • TechCrunchがスパイウェア検索ツール「TheTruthSpy」をリリース
  • 「逆」検索:警察がIT大手企業からあなたの個人情報を入手する卑劣な方法

本記者への連絡は、SignalまたはWhatsApp(+1 646-755-8849)またはメールでお願いいたします。また、SecureDrop経由でファイルや文書を送信することも可能です。

ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。

Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。

バイオを見る

Posted by Cemubo
Related Topics
Underscore VCとHi Marleyの協力で、常に変化する市場における製品市場適合を実現
デイリークランチ:子供向けのAmazon Glowビデオチャットプロジェクターが全米で発売開始
製薬大手リジェネロンが23andMeとその顧客データを2億5600万ドルで買収へ
SpotOnはa16z主導のシリーズDで1億2500万ドルを調達し、評価額は3倍の18億7500万ドルに
FacebookがWhatsAppにショップを追加するなど、eコマースのアップデートを実施
Xeal、EV充電器向けデジタルトークン決済システム拡大のため1100万ドルを調達
You May Like
中国はAR/VR競争で米国を観察し学ぶ
中国はAR/VR競争で米国を観察し学ぶ
FacebookがWhatsAppにショップを追加するなど、eコマースのアップデートを実施
FacebookがWhatsAppにショップを追加するなど、eコマースのアップデートを実施
大麻銀行法が超党派の支持を得て米下院を通過
大麻銀行法が超党派の支持を得て米下院を通過
Alloは、マインドフルネスを通じて人々がお金に関する前向きな習慣を身につけることを支援することを目的とした新しいアプリです。
Alloは、マインドフルネスを通じて人々がお金に関する前向きな習慣を身につけることを支援することを目的とした新しいアプリです。