Twitter%E3%81%AE%E9%87%8D%E5%A4%A7%E3%81%AA%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%95%8F%E9%A1%8C%E3%81%8C%E3%81%BE%E3%81%A0%E6%9C%AA%E8%A7%A3%E6%B1%BA%E7%8A%B6%E6%85%8B%E3%81%AE%E3%81%BE%E3%81%BE%E3%81%A0

Twitterの重大なセキュリティ問題がまだ未解決状態のままだ

昨日(米国時間8/25)イギリスのSEO屋Dave Naylorが書いた記事が、大きなニュースになった。その記事は、クロスサイトスクリプティングに対するTwitterの深刻な脆弱性を詳しく述べている。彼は‘つぶやき’の中の、通常はアプリケーションデベロッパが何かの製品のWebサイトへのリンクを書くような欄にJavaScriptのコードを書くという簡単な方法で、攻撃に成功した。このバグを利用すると、セッションのクッキーを盗む、Twitterワームを作る、あるいは不注意な訪問者にマルウェアを感染させるなど、ありとあらゆる悪事が可能だ。だからこれは、重大なセキュリティ問題と呼んでも過言ではない。

例によって、このニュースを知ったTwitterはバグにパッチを当てて対策を講じた。Twitter OperationsのJohn Adamsはわざわざ、Naylorのブログのコメントで、この記事が発表された直後に穴はふさがれたと述べた。

ところが、穴はまだあいていた。

今日(米国時間8/26)Naylorは昨日のブログ記事の続きとして、バグの悪用はまだ十分にできるという正しい主張を書いた。その証明として彼はまたTwitterのダミーアカウントを作った…Webサイトからこのリンクを訪れると(無害な)ダイアログボックスがポップアップする。読者がこの記事を読んでる時点では、Naylorが最初に作ったダミーアカウントの場合にそうだったように、Twitterはすでにこのアカウントを閉鎖していると思うから、このプロフィールを訪れたときに起きる(起きた)ことのスクリーンショットを記事の冒頭に載せておこう。

Naylorはこう書いている:

ちょっと技術のある人ならほんの数分で簡単なTwitterアプリケーションを作り、それを使って‘つぶやき’を送り始めることができる。下に書いたような簡単なやり方で、ほかのTwitterユーザがこれらの‘つぶやき’を一つでも見てからTwitterにログインしたら、その人のアカウントが盗まれるようになる。

実際に想像してみてほしい。これらの‘つぶやき’のたった一つを見ただけで、そのユーザのブラウザがコードを実行し、そのコードはユーザに成り代わってブラウザにできることなら何でもやる。ユーザをポルノのサイトに連れて行くだけの、人畜無害なことかもしれない。あるいはユーザの‘つぶやき’を全部削除するかもしれない。ユーザの友だち全員にメッセージを送るかな? フォロワーを全員消したり、もっとひどい場合は、そのユーザのログイン情報を別のサイトの誰かに送って、自由に使えるようにするかもしれない。

私の意見としては、Twitterの技術者たちがNaylorと接触して、悪用の仕方の詳細や正しい対策について学ばなかったのは許し難い。せっかく、SEOの専門家が問題を指摘してくれているのに。どうやらTwitterの連中は、セキュリティ上の問題点をよく理解しないまま対策に取り組んだようだ:

彼らが考えた対策は、アドレスボックスにスペースを入れないことだった。スペースか。それ以外はなんでもOKというわけだ。

サードパーティ製のクライアントを使ってTwitterにアクセスしても安全とは思うが、でも、なるべく多くの人が使っているクライアントを使うことと、明日と明後日の二日ぐらいはTwitterのWebサイトを訪ねないほうがいいだろう。どうしても訪ねる人は、知らない人のTwitterプロフィールへのリンクはクリックしないこと。そのリンクが、信頼できる知人の‘つぶやき’の中などにあっても、クリックしてはいけない。そして、‘つぶやき’を送る怪しげなアプリケーションには気をつけよう。

私はTwitterに連絡して、セキュリティの脅威がまだ存在することを伝えた。早めに、正しい対策を講じてほしいね。

[原文へ]

(翻訳:iwatani(a.k.a. hiwa))

Tags:

広告

blog comments powered by Disqus

コメント

UNKNOWN
Morpheusは結局Oculusとほぼ同じなので視線追跡を追加したFOVEには注目していきたいです…
Ichiro Mizoguchi
Bezosじゃない並の経営者だったら、目先のことだけ考えて莫大な利益出していそうだけど、Bezosは…
神宮司信也
すでに日本では、角川さんや東洋経済さんが、30分程度で読めるものをシリーズ化されていますよね。
quoteq
Androidにはずっと前から対応してたじゃん。
ぴよちゃん
一番上のビデオ、すでに著作権侵害で削除されてるしwww・・・ 大丈夫?