注目:

ニュース

コメント
Twitter%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%89%E3%83%91%E3%83%BC%E3%83%86%E3%82%A3%E3%82%A2%E3%83%97%E3%83%AA%E3%81%AF%E3%81%A9%E3%82%8C%E3%81%A7%E3%82%82%E3%83%A6%E3%83%BC%E3%82%B6%E3%81%AE%E3%83%97%E3%83%A9%E3%82%A4%E3%83%99%E3%83%BC%E3%83%88%E3%83%A1%E3%83%83%E3%82%BB%E3%83%BC%E3%82%B8%E3%81%AB%E7%84%A1%E8%A8%B1%E5%8F%AF%E3%81%A7%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%A7%E3%81%8D%E3%82%8B

Twitterのサードパーティアプリはどれでもユーザのプライベートメッセージに無許可でアクセスできる

Robin Wauters

2011年6月11日
コメント

現在、サードパーティ製のTwitterアプリケーションがユーザに、OAuthを使ってソフトウェアを認可するよう求め、その際、ユーザのプライベートメッセージ(送信と受信の両方)にはアクセスできないと言うが、実は容易にアクセスできてしまう、という状況がある。本誌TechCrunchに連絡してきたデベロッパのSimon Colijnは、このプライバシーの問題–というか災害–が広く知れ渡ることを望んでいる。

Colijnが作ったこのテストアプリケーションを動かすと、その認可プロセスの不具合が実際にあることが分かる。そのページをクリックするのがいやなら、ダミーのアカウントを使ってもいい。ぼくは、自分の本物の個人的Twitterアカウントを使って動かしたけどね。

案の定、認証画面が出て、このアプリケーションはあなたのプライベートメッセージにはアクセスできない、と言う。しかしその数秒後には、アクセスしてしまう。

なお、デベロッパとしてのColijnは‘Read-only’オプションをセレクトしているので、ぼくのTwitterのダイレクトメッセージをダウンロードして保存することはできない。

しかしこれじゃあ全然、’プライベートメッセージ’とは言えないね。

TwitterアプリのデベロッパでTopify.comのファウンダArik Fraimovichは、状況をこう推察している:

Twitterは最近、OAuthの画面をアップデートした。それは、サードパーティのアプリケーションがそのアカウントに対して持つアクセスのレベルに関して、より明確な透明性をユーザに与えるためだ。

Fraimovichの考えでは、Twitterは6月1日に新しい認証モデルをリリースする計画だった(DMへのアクセスを制限)。その後それを6月末に延期したが、OAuthの許可画面の新しいUIがすでに使われていることを、忘れていた。

つまり、TwitterのねらいとUIが、整合していなかった。

これが、Twitter側のシカトで通らない重要なプライバシー問題だとぼくが思う理由は、今Twitter上にはサードパーティアプリケーションが何十万もある。それは、Twitter自身が何度も認めているとおりだ。でもその何十万ものアプリケーションがユーザに許可を求め、あなたのプライベートメッセージにはアクセスできませんよ、とウソを言ったらどうなるのか? そのプライベートメッセージは、単に見られるだけでなく、どこか別のところに掲載されてしまうかもしれないのだ。

デベロッパのMike Robinsonは、三度も確認してこのバグの存在を確信した。彼が作ったテスト用のTwitterアプリケーションは、このプライバシーホールをたった2分で悪用する。

UIだけの問題なのか、それとももっと根が深いのか、いずれにしても多くの人のプライバシーに影響を与える問題だ。

数時間前にTwitterにColijnの発見を伝えたが、まだ返事はない(この時点ではサンフランシスコは早朝だ)。

とにかく、Twitter上でサードパーティアプリを認可するときには、注意が必要だ。自分のアカウントへのアクセスを許可しているアプリが何と何か、その設定を確認しよう。そして一般的には、Twitterのダイレクトメッセージでプライベートな、あるいは機密の情報の共有を、しないほうがよい。

アップデート:

これが、Twitterからの返事:

5月に発表したように、Twitterは認証モデルを変更して、サードパーティアプリケーションで共有する情報に対する、より強いコントロールをユーザに与えようとしている。最近弊社はこの変更の実施を6月末までに延期して、デベロッパが自分たちのアプリケーションの構成を新しいモデルに合わせて変えるための、時間を与えようとした。弊社は現在の許可画面のテキストをアップデートして、この変更が行われる期間にアプリケーションがアクセスできる情報とできない情報を、明確化しようとしている。

サードパーティアプリケーションの承認とその変更に関しては、Twitterのアカウントの“Applications”のページへ行ってください、

関連記事:

Twitter Revokes Automatic 3rd Party DM Access, Gives Users More Details On App Permissions (2011年5月)

Latest Twitter Bug: “Misdelivery of Direct Messages” (2009年4月)

DMFail: Another Reason To Just Not Send Private Messages On Twitter (2008年12月)

Privacy Disaster At Twitter: Direct Messages Exposed (2008年4月)

(画像: Flickr Dan McKay, 許可を得て使用)

CrunchBase Information
Twitter
Information provided by CrunchBase

[原文へ]
[jpTechCrunch最新記事サムネイル集]
[米TechCrunch最新記事サムネイル集]
(翻訳:iwatani(a.k.a. hiwa))

Tags:
  • Zurutter

    この話が事実なら、ユーザーからの集団訴訟が起きる可能性があるね。
    責任を取らなければならなくなるのは、サードパーティーでしょ?となると、サーパーティー全滅じゃん。
    で、次は、ユーザーに求められる形でツイッターがサードパーティーの穴を埋めると。
    ツイッターも悪よのーww

blog comments powered by Disqus

コメント

maeda hiroaki
ありがとうございます。
A
>…
岸本 知丈
どういう戦略をとるにしろ、それなりの宣伝費用かかかる。なので弱小企業からすれば口コミで勝負せざるを得…
げのじ
いやあ、ひどい記事ですね。ドローンでググったらこの記事が出てきて読んだけど、信用しかけましたよ。表記…
Kid
「現時点では、米国を拠点とし、英語でツイートする広告主様だけに対応しています」らしいです。