他人のアカウントからツイート投稿も、Twitterが脆弱性を修正
Twitterに存在していたCSRFの脆弱性を研究者が発見。悪用された場合、攻撃者が他人のアカウントからツイートを投稿したり、ダイレクトメッセージを読んだりすることが可能だった。
Twitterに他人のアカウントからツイートを投稿したり、ダイレクトメッセージを読んだりできてしまう脆弱性が見つかったとして、英国のセキュリティ研究者が11月6日のブログで報告した。Twitterは既にこの脆弱性を修正済みだという。
英国のセキュリティ研究者ヘンリー・ホガード氏のブログによると、Twitterには、攻撃者がエンドユーザーに不正なリンクを閲覧させることによって、Webアプリケーション上で攻撃者の指定した処理を実行させる「クロスサイト・リクエスト・フォージェリ」(CSRF)の脆弱性が存在していたという。
この脆弱性は、Twitterにモバイル端末を登録してSMSでアカウントを管理できる機能に存在していた。ホガード氏は脆弱性を突いたWebページを作成して、攻撃者の携帯端末とネットワークを被害者のアカウントに登録させる方法を実証。TwitterはCSRF攻撃を防ぐための認証トークンを用意していたが、この認証は任意の値を入力してかわすことが可能だったとしている。
脆弱性を突いたWebページを被害者がクリックすると、攻撃者の携帯端末が登録されてSMS経由でアカウントが操作され、攻撃者がツイートを投稿したり、ダイレクトメッセージを読んだりできる状態になる。ホガード氏はブログでコンセプト実証コードも公開している。
ホガード氏によると、Twitterは同氏から報告を受け、その日のうちにこの脆弱性を修正したという。
関連記事
- アプリから非公開ツイートにアクセスできてしまう脆弱性、Twitterが対処
サードパーティーアプリにTwitterのアカウントを使ってログインすると、非公開のはずのダイレクトメッセージが表示されてしまう問題をセキュリティ研究者が発見した。 - Twitter、開発者向け問題報告ツールのCrashlyticsを買収
Twitterが、モバイルアプリのクラッシュの原因を分析・報告するツールを手掛ける新興企業Crashlyticsを買収した。Crashlyticsはサービスの提供を続けつつ、Twitterのインフラへの新機能追加でTwitterのチームと協力していく。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.