芸能人や政治家らが「ツイッターのアカウントを乗っ取られた!」というのは、残念ながらよくあること(本当かどうかはさておき)。そうした乗っ取りリスクが、なんと3200以上のモバイルアプリで見つかったと報告されています。
セキュリティ研究企業のCloudSEKは、3200以上のモバイルアプリに開発者のミスがあり、ツイッターのアカウントの全部または一部機能の乗っ取りが可能とのレポートを発表しています。
これによりできることは、DMの閲覧やリツイート、リツイート、いいね!を付けることやフォロワーの削除、任意のアカウントのフォローやアカウント設定、表示画像の変更といったところです。
ただ乗っ取られる可能性のあるアカウントは、ユーザーではなくアプリ開発者のものだけというのが不幸中の幸いです。とはいえ、有名で認証済みのアカウントが標的とされることも意味しており、ボット軍団がフェイクニュースをばら撒く危険が生じるとも指摘されています。
もう1つのリスクは、ツイッターで流行している暗号通貨などの詐欺の宣伝に使われること。さらに攻撃者がDMを読むことで機密情報が流出するおそれもあります。
なぜ、こうした問題が起こっているのか。それはモバイルアプリ開発者に与えられる特別な認証キー(トークン)が漏れてしまっているためです。
モバイルアプリをツイッターと紐付けるとき、開発者にはトークンが与えられ、それによりアプリとツイッターのAPI(外部サービスの機能と連携できる仕組み)がやり取りできるようになります。この認証キーを使うことで、誰もが本来のユーザー(この場合は開発者)に成り代わってツイッターの各種アクションを実行できてしまう……Bleeping Computerはそうした趣旨を説明しています。
では、どうして認証キーが流出したのか。CloudSEKによれば、アプリ開発者がそれをツイッターAPIに埋め込み、アプリを公開する前に削除し忘れるというミスから起こることが一般的だそうです。
この問題を抱えたアプリには、数百万人ものユーザーがいる、非常に人気の高いものもあるそうです。しかしCloudSEKが警告してから丸々1か月が経っても、ほとんどの開発者がこの問題を修正していないため、あえてアプリの名前は公表されていません。いまからでも遅くないので警告に耳を傾け、速やかに不具合が直されることを祈りたいところです。
Source:CloudSEK