Twitterのあたらしいアカウント乗っ取りの件
[追記] このブログへのリンクを気軽にクリックしたそこのアナタ!!!!! 気をつけてください!!!!!!!!!!!!! 経緯 http://togetter.com/li/463503 手法 ダイレクトメッセージ経由で短文+短縮URL callback指定された認証URLをiframeで開く 2.のiframeのcallbackにはcallback.phpがあって(攻撃者のサーバ上)、アクセストークンを抜き取る ウハウハ 特徴 パスワードを抜き取るような通常のフィッシングサイトではない、Twitterの一種の脆弱性を利用していること →twitter.comにログインした状態なら起こりえる 既存の公式・サードパーティ製クライアントのコンシューマーキーを使用していること →なんで持ってるのって話 旧twitter.comのcssとかjsとかそのまんま使ってる →ソースをちょっとみただけではなにが問題なのかわからない スタートは2chだそうで。 →特定が困難 問題点 パスワード抜きの可能性もある 送信フォームあったけど記録されてるかはわからないね。トークンとられてパスワードも抜かれたのならもうウハウハだろうけど。iframeで認証ページが6つほどあったのでトークンが何個かとられててもおかしくない。というか、フォームでパスワードゲットできたのなら、アプリ連携解除されても、また手動でもアプリ連携設定できるよね。 認証方法がまずくね? トークンをリクエストするときにコールバック先を指定できるなら意図しない動作を利用者にバレずに引き起こすことができる。今回のものは、認証後にそれぞれのクライアントが予定していないところへコールバックしていた。これはまずい。 あれっ、でも、トークンをリクエストするときって、コンシューマーキーとコンシューマーシークレットが必要なんじゃ・・・? なんでコンシューマーキーとコンシューマーシークレットが使われてるの。 ウワサによればだけど、コンシューマーキーとかは暗号化されずに保存されていたものもあるそうだ。そんなのでは容易に抜き取ることができるだろう。というか、コンシューマーキーはそもそもクライアントサイドにあるものが多いので漏れるのは無理もない...