ニュース
Twitterに深刻な脆弱性? つぶやきを見ただけでアカウント乗っ取りの恐れ
Twitterのサードパーティーアプリケーションにまつわる深刻な脆弱性情報が英国のブログに掲載された。
Twitterには深刻な脆弱性があり、ユーザーが特定のつぶやきを見ただけでアカウントを乗っ取られてしまう恐れがある――。英国のSEO情報ブログにそんな情報が掲載された。
この情報は、SEOサービスの専門家デビッド・ネイラー氏のブログに8月25〜26日に掲載された。それによると、脆弱性はサードパーティーのアプリケーションに起因する。Twitterのつぶやきは、例えばTweetDeck、TwitterFox、HootSuiteといった専用アプリケーションから投稿することもでき、この場合は使われたアプリケーション名がつぶやきの下に表示される。
しかしこの部分は、外部のアプリケーション開発者がTwitterのフォームに入力した内容がそのまま反映され、例えばHTMLコードやJavaScriptのscriptタグでさえも表示させることができてしまうという。これを悪用すれば、ユーザーを別のページに誘導したり、ユーザーのアカウント情報を変更させたり、フォロワーを削除するといったことができてしまうとブログ筆者は解説する。
Twitterは、Webアプリケーション開発において、外部から提供されたデータを盲目的に信頼するという基本的な過ちを犯したと筆者は断言。Twitterでは指摘を受けて問題を解決したとしているが、同社の取った措置では解決になっていないとブログ筆者は反論している。
関連記事
- Twitterがまたダウン、8月だけで4回目
一時アクセス不能になり、Twitterには「不測のサービス障害に対応中」という状況報告が掲載された。 - 最大の攻撃目標になったソーシャルネットワーク
TwitterやFacebookの人気が高まるにつれ、さまざまな手段によるハッキング攻撃が増加している。 - Twitterにマルウェアへの指示メッセージ、セキュリティ企業が発見
Twitterがボットネットのコマンド&コントロールに利用されていたことが判明した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.