Facebook for Android SDK 3.0 では、WebDialog を使用して ( 経由でSessionLoginBehavior.SUPPRESS_SSO) ユーザーを認証すると、Facebook アプリの設定で定義されたキー ハッシュに対して認証されません。キー ハッシュは、Android ネイティブの Facebook アプリを使用してログインする場合にのみチェックされるようです。
テストとして、すべてのキー ハッシュを削除し、Facebook アプリを運用モードにしました。ネイティブ ログイン経由でログインすると、予想どおりエラーが発生しますが、WebDialog 経由でログインすると成功します。
他人のFacebookアプリIDを指定して、そのアプリとしての機能を実行できるということではないですか?たとえばapp_id、Android アプリの を107092686086560(Coke Zone Facebook アプリ) に変更しました。また、WebDialog を使用してログインすると、Coke Zone 経由でログインして友達のウォールに投稿できます。これはセキュリティ上の問題ではありませんか?