2012.04.07
ライト氏によると、自分の端末をPCに接続し、無料のPC向けファイル管理ツール「iExplorer」を使ってFacebookアプリが端末に保存しているデータを調べたところ、ユーザー設定ファイルの「com.Facebook.plist」が暗号化されずにプレーンテキストとして保存されているのが分かった。このファイルを他の端末にコピーしたところ、その端末からFacebookのアカウントにログインできたという。これにより、公共の場所にあるPCにデータ収集ツールが仕込まれていれば、接続した端末からplistファイルが盗まれ、Facobookアカウントを悪用される恐れがあるそうです。
Facebookは複数のメディアに対し、この脆弱性はジェイルブレイクした端末でのみ危険だという声明を発表したが、The Next Webは、物理的に端末に接触できればジェイルブレイク端末以外でも悪用できると警告しているそうです。
すでにFacebook側はアプリの修正を開始していそうですが、よく使うアプリでもあるので早く修正版をリリースして欲しいですね。