Twitterは20日、攻撃者が非公開のアカウント情報を参照したり、メッセージを送信したりできるAndroid版Twitterアプリの脆弱性を最近修正したとしてアップデートを呼びかけた(Twitterプライバシーセンターのブログ記事、 9to5Googleの記事、 Mashableの記事、 SlashGearの記事)。

脆弱性の詳細は公表されていないが、Android版Twitterアプリの制限されたストレージ領域に悪意のあるコードを埋め込むことで、攻撃者による情報へのアクセスやアカウントの制御が可能な状態だったようだ。実際に脆弱性が悪用された形跡はないものの、影響を受けた可能性のあるユーザーにはTwitterアプリまたは電子メールで通知しているとのこと。iOS版Twitterアプリは影響を受けない。

Twitter Supportは今週初めにGoogle Playでリリースされたバージョンでは脆弱性が修正されているとツイートしていたが、その後のバージョン7.93.4(11月4日リリース、KitKat向け)とバージョン8.18(10月21日リリース、Lollipop以降向け)で修正済みだとツイートした。なお、KitKatよりも古いバージョンのAndroidはサポートが終了しているとのことだ。