Strange Days

Twitterの秘孔が突かれました

2010年09月21日(火曜日) 22時35分 インターネット 天気:晴れ

 平常、Twitterへのアクセスは、Firefox拡張のYoonoを使っている。これを使うとFirefoxの左に1ペーン区切って、そこでアクセスできるので、普通にブラウズする合間に使うには便利だ。
 帰宅して21:00頃だったか。フォローしてる人々の会話に『RainbowTwtrをブロックした』云々と、なんとなく不穏なフレーズがちらほらし始めた矢先だった。誰ぞがRTしたように見えるtweetが、なんだかスクリプトに見えた。なんの気なしにマウスオーバーした途端、なんとそのtweetがRTされてしまったではないか! これは、XSS? それにしてもFirefox拡張でか。
 他のtweetを注意深く呼んでいると、ブラウザを閉じろという警告が流通していた。どうもTwitterサーバが十分クレンジング出来ないで、生のスクリプトを返してしまうという脆弱性があるようだ。しかも、マウスイベントまでキャッチされてしまうような。
 原理的に、Javascriptを解釈できるものはみんな危ないので、まずはFirefoxのNo Scriptでスクリプトをクレンジングして、ブラウザでアクセスする。Yoonoはもう信用できないからだ。そこで情報を集めつつ、思いついたクライアントを試してみた。なんとなく、MZ3/4ならいいのではと思った。あれはmixiその他複数のサービスで共用する関係で、アウトプットからは綺麗サッパリスクリプトを落とされている。メッセージ中に表示されているURIすら、いちいち右クリックで『メッセージ中のURIに飛ぶ』といった操作が必要だ。セキュリティ問題で苦しんだmixiのクライアントということもあり、高度にクレンジングされているのでは。そう思って公開サイトを調べると、Twitter専用にTkTweetsというアプリが公開されている。インストールして使ってみると、やはりきっぱりクレンジングしているようで、問題のスクリプト群も問題なしだった。
 かれこれしているうちに、かのRainbowTwtrのアカウントが消え、さらにTwitterからサーバにパッチを当てた旨、情報が公開された。それ以降は確かに問題は消えたように見える。
 しかし、TkTweetsは意外に使いよかったので、今後しばらくはこれで行ってみよう。
 このRainbowTwtrは、このXSS脆弱性が8月には判明しているのに、Twitterが一向に対策を打たないのに業を煮やして、かの挙に出たような情報がある。そういう事件が起こる混沌が、新しいメディアには付き物なのだよ、キミ*1


Add Comments


____