読者です 読者をやめる 読者になる 読者になる

like life lives

技術以外のことに興味が寄りすぎな技術ブログ

CSRFについて:twitterで発生した新型攻撃

twitterの新しいウイルスが発見されましたね

【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト

手順から分類するとCSRFです。先日CSRFのエントリを書いたばかりなので、偶然とはいえやはりポピュラーな攻撃手法のようです。

今回のケースでは、二つの悪材料が大きく関係しています。

1.ツイッタークライアントの鍵が漏洩した

twitterクライアントアプリ内で認証に利用している鍵の文字列が外部に漏れてしまったため、そのアプリからのリクエストと偽って認証が可能になってしまっています。

アプリ側でできる対策としては、
① アプリ内で使用している鍵を暗号化する
② twitterAPIアクセス専用のプロキシサーバを構築する

といったところだと思います。(参考)

①は、完全に漏洩を防ぐことはできないかと思われますが、対策としては有効。

②は①より安全ですが実装がたいへん。しかし鍵を完全に隠匿できるため、対策としては有効です。

いずれにしろアプリ開発者のセキュリティ意識が問われると共に、負担が増え開発のしきいが上がるということになってしまいます。

2.twitter側で認証後のリダイレクトURLをチェックしていない

非PIN認証モード時に、認証後のリダイレクト先に好きなURLを指定できてしまうようです。

アプリ側の設定でPIN認証しかできないようにしておけば、好き勝手なURLに設定できないとのこと。

しかし非PIN認証モードだろうとリダイレクトURLのチェックはするべきではないでしょうか。


今回の件で、twitter側がなにか対処をするのか注目。