Twitter%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%89%E3%83%91%E3%83%BC%E3%83%86%E3%82%A3%E3%82%A2%E3%83%97%E3%83%AA%E3%81%AF%E3%81%A9%E3%82%8C%E3%81%A7%E3%82%82%E3%83%A6%E3%83%BC%E3%82%B6%E3%81%AE%E3%83%97%E3%83%A9%E3%82%A4%E3%83%99%E3%83%BC%E3%83%88%E3%83%A1%E3%83%83%E3%82%BB%E3%83%BC%E3%82%B8%E3%81%AB%E7%84%A1%E8%A8%B1%E5%8F%AF%E3%81%A7%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%A7%E3%81%8D%E3%82%8B

Twitterのサードパーティアプリはどれでもユーザのプライベートメッセージに無許可でアクセスできる

現在、サードパーティ製のTwitterアプリケーションがユーザに、OAuthを使ってソフトウェアを認可するよう求め、その際、ユーザのプライベートメッセージ(送信と受信の両方)にはアクセスできないと言うが、実は容易にアクセスできてしまう、という状況がある。本誌TechCrunchに連絡してきたデベロッパのSimon Colijnは、このプライバシーの問題–というか災害–が広く知れ渡ることを望んでいる。

Colijnが作ったこのテストアプリケーションを動かすと、その認可プロセスの不具合が実際にあることが分かる。そのページをクリックするのがいやなら、ダミーのアカウントを使ってもいい。ぼくは、自分の本物の個人的Twitterアカウントを使って動かしたけどね。

案の定、認証画面が出て、このアプリケーションはあなたのプライベートメッセージにはアクセスできない、と言う。しかしその数秒後には、アクセスしてしまう。

なお、デベロッパとしてのColijnは‘Read-only’オプションをセレクトしているので、ぼくのTwitterのダイレクトメッセージをダウンロードして保存することはできない。

しかしこれじゃあ全然、’プライベートメッセージ’とは言えないね。

TwitterアプリのデベロッパでTopify.comのファウンダArik Fraimovichは、状況をこう推察している:

Twitterは最近、OAuthの画面をアップデートした。それは、サードパーティのアプリケーションがそのアカウントに対して持つアクセスのレベルに関して、より明確な透明性をユーザに与えるためだ。

Fraimovichの考えでは、Twitterは6月1日に新しい認証モデルをリリースする計画だった(DMへのアクセスを制限)。その後それを6月末に延期したが、OAuthの許可画面の新しいUIがすでに使われていることを、忘れていた。

つまり、TwitterのねらいとUIが、整合していなかった。

これが、Twitter側のシカトで通らない重要なプライバシー問題だとぼくが思う理由は、今Twitter上にはサードパーティアプリケーションが何十万もある。それは、Twitter自身が何度も認めているとおりだ。でもその何十万ものアプリケーションがユーザに許可を求め、あなたのプライベートメッセージにはアクセスできませんよ、とウソを言ったらどうなるのか? そのプライベートメッセージは、単に見られるだけでなく、どこか別のところに掲載されてしまうかもしれないのだ。

デベロッパのMike Robinsonは、三度も確認してこのバグの存在を確信した。彼が作ったテスト用のTwitterアプリケーションは、このプライバシーホールをたった2分で悪用する。

UIだけの問題なのか、それとももっと根が深いのか、いずれにしても多くの人のプライバシーに影響を与える問題だ。

数時間前にTwitterにColijnの発見を伝えたが、まだ返事はない(この時点ではサンフランシスコは早朝だ)。

とにかく、Twitter上でサードパーティアプリを認可するときには、注意が必要だ。自分のアカウントへのアクセスを許可しているアプリが何と何か、その設定を確認しよう。そして一般的には、Twitterのダイレクトメッセージでプライベートな、あるいは機密の情報の共有を、しないほうがよい。

アップデート:

これが、Twitterからの返事:

5月に発表したように、Twitterは認証モデルを変更して、サードパーティアプリケーションで共有する情報に対する、より強いコントロールをユーザに与えようとしている。最近弊社はこの変更の実施を6月末までに延期して、デベロッパが自分たちのアプリケーションの構成を新しいモデルに合わせて変えるための、時間を与えようとした。弊社は現在の許可画面のテキストをアップデートして、この変更が行われる期間にアプリケーションがアクセスできる情報とできない情報を、明確化しようとしている。

サードパーティアプリケーションの承認とその変更に関しては、Twitterのアカウントの“Applications”のページへ行ってください、

関連記事:

Twitter Revokes Automatic 3rd Party DM Access, Gives Users More Details On App Permissions (2011年5月)

Latest Twitter Bug: “Misdelivery of Direct Messages” (2009年4月)

DMFail: Another Reason To Just Not Send Private Messages On Twitter (2008年12月)

Privacy Disaster At Twitter: Direct Messages Exposed (2008年4月)

(画像: Flickr Dan McKay, 許可を得て使用)

[原文へ]
[jpTechCrunch最新記事サムネイル集]
[米TechCrunch最新記事サムネイル集]
(翻訳:iwatani(a.k.a. hiwa))

Tags:

広告

blog comments powered by Disqus

コメント

Atsuhiro Teshima
単語学習では、なぜか国際展開を全然しないiKnowがレベル高いと思うのでこちらにも頑張って欲しい。英…
名無し
単語を見る→知ってるか知らないかを判別する→それを繰り返して→知ってる単語を増やすという流れですよね…
そーみ
覚えてもすぐ忘れそう。まあ、繰り返しが大切だね。
Ichiro Mizoguchi
なぜにmikan という名前なんでしょうか。学習効果高そうなので、名前付けの理由気になりますねぇ。
kazuki himura
一事業人員を半減させる思い切り。ベストプラクティスの拡充では限界。どんどん新しくですね。