2007年08月27日 03:07

twitterにセキュリティホールが発覚、日本人ユーザーを中心に「はまちちゃん」だらけに

 
はまちちゃん

今年の春頃から、有名ブロガーを中心に大流行した「ミニブログ」サービスの走りであるtwitterですが、このたびセキュリティホールが発見されたようです。詳細は以下より。

どうやらtwitterに新しく追加されたユーザー検索機能にチェック抜けがあったようです。ウィンドウのタイトルバーに文字を表示する部分(title要素といいます)に、ユーザーが入力した検索文字列をそのまま表示してしまうため、そこに悪意あるコードを埋め込めてしまうようです。

また、twitterで流れているリンクはTinyURLというURL(ウェブ上のアドレス)を短くするサービスで短くされたものが表示されるため、うっかり踏んでしまう人が続出しているようです。

TinyURLではこのようないたずらを防ぐために、プレビュー機能というものを搭載しています。TinyURL.comのプレビュー機能のページから、「click here enable previews.」というリンクをクリックする事で設定できます。解除するためには「click here enable previews.」というリンクをクリックしてください。

これで元のURLを確認してから見られるようになりますので、「http://twitter.com/tw/search/users?q=」で始まるURLは、twitterがセキュリティホールをふさぐまで決して踏まないようにしてください。

ただし、今回の攻撃コードは http://hamachiya.com/twi**er04 (安全のために伏字にしてあります) に置かれており、TinyURLの短縮アドレスもそちらを指しています。このURLにアクセスすると攻撃URLにさらに転送される、という手のこんだことをしています。

ですので、TinyURLでURLをプレビューしたあとも、JavaScriptを切ってからアクセスするなどの対応をしてください。

また、ドメインなどから、今回のセキュリティホールを見つけたのは、IEを一撃でクラッシュさせるたった1行のコードなどが記憶に新しい日本人ハッカー、はまちちゃんであると思われます。

ええそうです、つまり今回の罠にひっかかると、問答無用でtwitterに「ぼくはまちちゃん! こんにちはこんにちは!!」と発言させられてしまうのです!

いやはやおそろしいですね、恐いですね。

いやホントにその程度で済んでよかったです。本当にこのセキュリティホールを悪用したら、もっと甚大な被害を出すこともできるのですから。みなさん、本当に注意してくださいね。

追記

27日20時ごろ確認したところ、twitter側で対応したようです。title要素に検索文字列を入れるのをやめただけという対処ですが、普通に危ない文字を置換して表示というふうにはできなかったのでしょうかね?

 
Twitter facebook はてブ コメント ご意見 TB
 
コメント欄を表示する(0)
トラックバックURL
最新記事

スポンサードリンク
以前の記事


らばQは、世界中から役立つ・面白いニュースの話題をお届けするブログサイトです。