【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト

2020/10/18 エンジニア D4DJ Groovy Mix オープンベータ開始 2020/10/18 ＤＪ 秋葉原(を夢見る)パラダイスレイディオ Vol.1 @ twitch配信 2020/10/25 エンジニア D4DJ Groovy Mix リリース 2020/11/14 ＤＪ UNDER Freaks 2nd anniv. @ 渋谷Cafe W (渋谷WOMB 1F) (2013/03/01 14:40追記) twitter側で、このタイプのウイルスへの対策が取られ、「URLを踏んだだけでアカウントを乗っ取られる」という脅威は無くなりました twitterに出現した新型ウイルスが非常にヤバいので、対処法などをまとめてみました。 #正しくはウイルスではなく「攻撃サイト」ですが、脅威が伝わりづらいので釣り気味に「ウイルス」と書いてます。 (2013/02/28 23:08追記)：

[ui_nyan]

まとめた / 3/1に対策が取られ「URLをクリックしただけで乗っ取られる」脅威は無くなりました

[th_6295]

釣りタイトルとは言え、DMへの警告が「拡散希望」というTwitterの魔界っぷり。

[rag_en]

「URL踏むだけで垢ハック！！…に気をつけましょう＞＜」とか、某ネトゲ系Wikiなら日常茶飯事やでぇ。

[dokuuuuuu]

注意を引くためにウィルス書いた× PVの為にウィルスとかいた○

[sayazoh]

Twitterの実装がイマイチなところにうっかりさんが作ったアプリが追い打ちしたのか

[s17er]

クライアント側で暗号化するにしても限界あるしなあ / id:Swishwood 憶測で適当なこと言うな

[silverscythe]

バ‥‥あんまり詳しくない人のためにウイルスって書いてるんだろうなーと思って開いたらド頭から説明されてた

[dmutaguchi]

OAuthのコールバックURLって任意のものが仕込めるのか、そりゃそうなるわな…クライアントアプリに埋め込むkey/secretを絶対秘匿なんて無理じゃ？

[side_tana]

ばやい

[ElizaAcolyte]

なんというか、よく見かける残念な記事に技術力を足すとこんな感じ、なのかな・・・。

[pokodayo7]

Twitter新型ウィルスだって！

[nilab]

【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト - uinyan. com

[blogger323]

いまさらブクマ

[navix]

（twitter側が対策し終息済みらしい。）

[moondoldo]

Twitter URL

[daruyanagi]

へぇ

[moftpit]

お…おう。

[kzakza]

いくつかすでにDMがきておったが・・

[yookud]

「TwitterのOAuth認証では、コールバック先のURLを後から自由に決めれる」「 有名アプリのConsumer key/Secretで認証させ、戻り先は自分のアプリに設定すれば、アクセストークンが自分のアプリに帰ってくる・・・」なるほど

[zuborawka]

これはヤバい

[uvwqzil1015]

TKGHatebuReaderより

[byonhon]

いや、怖いですねツイッターウイルス。こういった記事があると非常に助かります♪

[pakiln]

「有名ツイッタークライアントのConsumer key/secretが漏れてる」マジっすか。

[zetamatta]

直ったらしい。『TwitterのOAuth認証では、一度でも連携の認証を受けたアプリケーションは、認証画面をすっ飛ばしていきなりアクセストークンを貰うことができる』という点を利用していたのか

[pmint]

使ってない連携アプリを切れば済む話。そういうのは「風説の流布」って言うんですよ。

[tatsunop]

もう対策されたみたいだけど、踏んだだけでってのは知らないと対策しようがないよなぁ。

[korumono]

大体全然知らない人（ていうかフォローしてない人）から来るんだよな…

[zakinco]

メモ

[witchstyle]

(2013/02/28のエントリ) 「OAuthのコールバック先を後から自由に変えられる」という実装と、コンシューマのKey/Secretが漏れたことの合わせ技で発生した

[nunnnunn]

釣りタイトルと聞いて安心した…

[tarchan]

＞URLをクリックする→クライアントアプリのOAuth認証がiframeでいっぱい貼られたページに飛ばされる→どれか１つでも認証したことがあると、勝手に認証される→コールバックで仕込まれた罠サイトにアクセストークンが渡

[inaminn]

今のところまだ何とか大丈夫……

[kaitoster]

とりあえずHootSuiteの認証は切ってきた。

[mi1kman]

Twitterワーム

[u1tnk]

日本語DMだとあんま警戒してないからやばいな。とりあえずデフォルトブラウザはtwitterにログインしないようにするか。

[cinefuk]

なるほど、"TweetDeck/Tweetbot for iOS/HootSuite/iOSデフォルトアプリ/ShootingStar/ShootingStar Pro"の鍵が盗まれて悪用されている、と。

[bluecrowp]

変なリンクは踏まないようにしたい。

[UME]

という、ウイルスだったりするとかだったら・・・

[takepon2100848]

注意してね、みなさん。

[blue1st]

「それウイルスとちがくね？」とツッコもうと思って開いたらちゃんと言及されてた。しかしやたらに定義に従わずに語彙を濫用するのはいかがなもんだろ。セキュリティ会社的にチャンスかもしれんけど。