« DIMENSION 3100C CPU載せ替え | トップページ | 近況 »

2012年3月30日 (金)

ツイッターのアプリ連携認証の危険性

20120330_92133ツイッター利用している人なら一度は見たことがあると思われるこのような画面。
ツイッターのクライアントや、連携アプリを使うための認証画面です。
皆さん気軽に認証しちゃっていませんか?


Twitterの認証には今はほとんどOAuthという方式が使われています。
OAuthについてはこちらのサイトがとてもわかりやすく解説しています。

→非技術者のためのOAuth認証(?)とOpenIDの違い入門

こちらの解説に書いてあるとおり、OAuthは合鍵みたいなものです。

では合鍵を渡してしまうとどうなるでしょうか?

そりゃもちろん、勝手に部屋に入って好き勝手される可能性もありますよね。
それを今回やった方がいます。

じっとシックスさんはルイズうわああん大河ペロペロなどのツールを作っている方です。
そしてこのツールはOAuthを使っています。
つまりじっとシックスさんはこのツールを使った人の合鍵を持っているわけです。

OAuthは一応合鍵を使ってできることを制限できますし、それを確認することもできます。
まあ、家の合鍵があっても、部屋の合鍵まで渡さなければ自分の部屋は荒らされないみたいなものです。

ここでもう一度ルイズうわあああんの認証画面をよく見てみましょう。

20120330_92133

そう、このアプリを認証することでこのアプリの製作者は勝手にTLを見る、フォロワーを見る、フォローする、プロフィールを変える、ツイートする、といったことができるようになるわけです。

そして今回その内の勝手にフォローということを実行したわけです。

20120330_141147

今回は過去にルイズうわあああんを利用した人に自分をフォローさせるというものでした。

最終的にアンフォローしているので、その間使ってなかった人は気づいていないかもしれません。

しかし、フォローした覚えもない人をいつの間にかフォローしていて、TLに現れるわけですから怖くなる人もいるでしょう

今回は目的がこういうものであったためこれで済んでいますが、もし開発者が悪意を持った人なら上に書いたようなことを簡単に普通にできるわけです。

この許可ボタンは合鍵と同じようなものだと思って信頼出来るもの以外は押さないようにしましょう。

でもこの許可は設定から取り消すこともできます。

設定のアプリ連携から「許可を取り消す」を押せば、もうその合鍵は使えなくなるわけです。

20120330_131442

相手がわからないが、どうしてもそのアプリを使いたいという場合、使ったあとに許可を取り消すことを忘れないようにしましょう。



また、最近では普段使っているアプリにそっくりにして認証させ、好き勝手するスパムアプリも増えています。

→Twitpicを装った悪質な偽装アプリ「Picture Twitpic」に注意 - ねとらぼ

この例は定番のツイッター用写真投稿サイトのTwitpicにそっくりの認証画面で、ユーザーを騙し、認証させ、スパムPostをするアプリです。

自分の家には信頼出来る人しか上げませんよね?
同じようにツイッターでも信頼出来る元のアプリ以外は使わないようにしないと、アカウントを事実上乗っ取られるということを知っていてもらいたいものです。



今回この記事を書くことを快く許可してくださったじっとシックスさんに感謝します。
サイト→Git6.com
ルイズうわあああん

|

« DIMENSION 3100C CPU載せ替え | トップページ | 近況 »

パソコン・インターネット」カテゴリの記事

コメント

http://www.google.com/gwt/x?client=ms-kddi-gws-jp&gl=JP&source=sg&u=http://ja.favstar.fm/users/gitsix&ei=kbuuUPzdEIvokAWVxYDYBQ&wsc=tb
←hacker

投稿: admic1 | 2012年12月13日 (木) 00時20分

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/581328/54345173

この記事へのトラックバック一覧です: ツイッターのアプリ連携認証の危険性:

« DIMENSION 3100C CPU載せ替え | トップページ | 近況 »