アプリから非公開ツイートにアクセスできてしまう脆弱性、Twitterが対処

サードパーティーアプリにTwitterのアカウントを使ってログインすると、非公開のはずのダイレクトメッセージが表示されてしまう問題をセキュリティ研究者が発見した。

[鈴木聖子，ITmedia]

　Twitterのアカウントを使ってサードパーティーのアプリケーションにログインすると、非公開のはずのダイレクトメッセージにそのアプリからアクセスできてしまう問題が見つかったとして、セキュリティ研究者が1月22日のブログで情報を公開した。

　この問題は、セキュリティ企業のIOActiveの研究者が、開発中のあるWebアプリをテストしていて発見した。このアプリはTwitterにサインインできるオプションを利用すると、自分のタイムラインのツイートを読んだり、ツイートを投稿したりできる仕様になっていた。しかし説明を読む限り、パスワードやダイレクトメッセージにはアクセスできないはずだった。

　そこでサインインして使ってみたところ、このアプリとTwitterに何度かログインとログアウトを繰り返すうち、自分のダイレクトメッセージが全て表示されるようになったという。

　通常、サードパーティーアプリケーションがダイレクトメッセージにアクセスするためには、まず登録を済ませてアクセスレベルを設定したうえで、Twitterのサイト上でユーザーの許可を得る必要がある。ところが問題のアプリでは、許可していないのにダイレクトメッセージが表示されたといい、許可を求めるWebページも表示されなかった。

　Twitterは研究者から報告を受け、1月17日にこの問題を修正したという。同社の説明によれば、複雑なコードや不適切な検証などに原因があったと研究者は伝えている。

　研究者は、Twitterが報告を受けてから24時間以内に問題を修正した迅速な対応を評価する一方で、ユーザーに対する告知がなかったことを理由にTwitterの脆弱性情報開示ポリシーに疑問を投げ掛けた。アプリケーションの中には、脆弱性が修正された後も依然としてダイレクトメッセージにアクセスできてしまうものがあるかもしれないと警告している。