201303012

【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト  

 

(2013/03/01 14:40追記) twitter側で、このタイプのウイルスへの対策が取られ、「URLを踏んだだけでアカウントを乗っ取られる」という脅威は無くなりました

twitterに出現した新型ウイルスが非常にヤバいので、対処法などをまとめてみました。

#正しくはウイルスではなく「攻撃サイト」ですが、脅威が伝わりづらいので釣り気味に「ウイルス」と書いてます。

 

(2013/02/28 23:08追記):この問題はTwitterに既に報告済みとのこ


どういうウイルス?フォローしている人から「ちょっとこれみてくれよ →(フィッシングサイトのリンク)」といったDMが届く#文面は他にもバリエーションがある可能性があります。リンクをクリックすると即感染!Twitterのアカウントを乗っ取られる。勝手に自分のアカウントでウイルス付きのDMをバラまかれるいままでのDMで広がるウイルスと違い、リンクをクリックした時点で感染します。また、メッセージが日本語なので、かつてのウイルス対策の「英語のDMにだけ気をつければいい」が通用しません。
URLをクリックしちゃったときの対処うっかりURLをクリックしたときにすべきことをまとめました。
まずパスワードの変更「ツイッターの設定 – アプリ連携」から以下のアプリの「許可を取り消す」TweetDeckTweetbot for iOSHootSuiteiOSのデフォルトアプリShootingStarShootingStar Pro既に送ってしまったDMを削除。URLを踏まないようにReplyで知らせる。新型ウイルスの予防方法アカウントを乗っ取られないように、前もって対処する方法です。
ブラウザで、Twitterからログアウトしておく 。ログインしっぱなしは危険。知ってる人からのDMであっても、URLをクリックしないこの騒動が終息するまで、DMでURLをやりとりしないほうがよさそうです。
—–一般向けコンテンツここまで —–
—–マニア向けコンテンツここから —–
なんでこうなったの?有名ツイッタークライアントのConsumer key/secretが漏れてるソースコードをバイナリエディタで見た?逆アセンブル?パケットキャプチャ?Consumer key/secretを暗号化せずにソースコードに書くと、バイナリエディタで簡単に読めるオープンソースのクライアントアプリは、対策してないと簡単にConsumer key/secretが読めますねTwitterのOAuth認証では、コールバック先のURLを後から自由に決めれる。有名アプリのConsumer key/Secretで認証させ、戻り先は自分のアプリに設定すれば、アクセストークンが自分のアプリに帰ってくる・・・設定時にコールバックの設定を空欄にしても(PIN認証モード)、認証時にパラメータでコールバックを指定すると、コールバックURLを好きなように変えれてしまう(2013/03/01 0:07追記)PIN認証必須にしておけば、コールバックURLは変更できないとのことTwitterのOAuth認証では、一度でも連携の認証を受けたアプリケーションは、認証画面をすっ飛ばしていきなりアクセストークンを貰うことができる。既に認証が済んでいる場合は認証画面を出さずそのままコールバックURLにリダイレクトする方法(2013/03/01 14:40追記)twitter側で対策が取られ、dev.twitterのアプリケーション設定で、「Allow this application to be used to Sign in with Twitter」にチェックが入ってない場合は、認証画面をすっ飛ばすことができなくなりました。Changes to the ‘Sign in with Twitter’ flow | Twitter DevelopersTwitterのOAuth認証画面はx-frame-options:SAMEORIGINでiFrame対策をしているが、locationが優先されてリダイレクトしちゃう(2013/03/01 14:40追記)twitter側で対策が取られ、x-frame-options:SAMEORIGINが正しく機能するようになりました。これらをまとめると
「URLをクリックする→クライアントアプリのOAuth認証がiframeでいっぱい貼られたページに飛ばされる→どれか1つでも認証したことがあると、勝手に認証される→コールバックで仕込まれた罠サイトにアクセストークンが渡る→アカウントが乗っ取られ、勝手にDMを送信されたりする→猫起きる」というコンボが可能に・・・・
クライアントアプリ開発者がとるべき対策consumer key/secretを取得しなおして、暗号化するバイナリエディタで開いたぐらいじゃわからないように暗号化復号化されるリスクはあるけど、ターゲットにはされづらいかと・・・オープンソースのクライアントアプリでは、consumer key/secretを書いた部分だけバイナリ化しておくとか?Twitterがとるべき対策コールバックのURLを好き勝手に決められないようにすべきアプリケーションの設定でコールバックのURLのドメインをあらかじめ決めておいて、それ以外のコールバックを禁止するとかクライアントアプリはPIN認証以外を認めないようにするPIN認証モードにしてるのに、後からコールバックURLをブチ込めるのがおかしい・・・(2013/02/28 23:13追記) PIN認証必須(アプリケーションの設定で、コールバックURLの欄を空白にする)にしておけば、あとからコールバックURLを入れても無効になるとの指摘がありましたので、修正しました。フィッシングサイトのURLを叩いたら、t.co側で警告を出すようにする参考サイト”フィッシング? – Togetter” http://togetter.com/li/463503”DM踏んだだけでアレな件はTwitterのOAuth実装がク○だと思う” https://gist.github.com/ritou/5053810”TwitterのOAuthの問題まとめ” https://gist.github.com/mala/5062931

  Slowtimes.netは、誰もが生きやすい生活や仕事のありかた(スローライフ・スローワーク)について考えたい、何かしてみたいというひとに情報を提供する市民メディア、オルタナティブメディアで、ネットワークトジャーナリズムを目指しています。

   Slowtimes.netサイトをリニューアルしました。このサイトは最初はウェブ(HTML)でつくられ、続いてCMS(Xoops)となり、さらに、今回の形となりました。

   今回のSlowtimes.netサイトのリニューアルは、ネットの情報発信がメールマガジンやメールニュースなどの「メールメディア」とブログなどの「ウェブメディア」を融合し、映像や音声を使ったカタチにシフトしていくのに対応したものです。

 

◆メールニュース・メールマガジン

 1999年より発行のメールニュースの週刊「S-Report」は、15年を超えて、メール配信しました。
 現在はこの場所で配信しています。


 

◆メディア★カフェ
メディア★カフェはメディアや情報をテーマにしている活動を紹介し、気軽に話し合うカフェです。

 カフェTV、市民メディア・ブレゼン、インフォマーシャル(Infomercial)などを行います。

 

◆フォーラム

 市民メディア全国交流協議会、MELL EXPO (メル・エキスポ)どのメディアのフォーラムに参加しています。

 

サイト・プライバシーポリシー

 当サイトではサイト・プライバシーポリシー・サイト参加規約などを定めています。

 

検索

 

   (c) Slowtimes.net

2009.2006.2004.1999 All rights reserved