セキュリティ研究者らは、3,200以上のモバイルアプリに開発者のエラーを発見した。このエラーにより、Twitterアカウントの全部または一部が乗っ取られる可能性がある。
最悪の例では、約 320 個のアプリが影響を受け、攻撃者が Twitter アカウントを完全に制御できるようになります...
これにより、次のすべてを実行できるようになります。
- ダイレクトメッセージを読む
- リツイート
- のように
- 消去
- フォロワーを削除
- 任意のアカウントをフォロー
- アカウント設定を取得する
- 表示画像を変更する
幸いなことに、乗っ取られる可能性のあるアカウントはユーザーではなくアプリ開発者のものであるが、サイバーセキュリティ企業は、これによりボット軍団が有名で認証済みのTwitterアカウントを使って偽情報を拡散する危険性が生じると述べている。
私たちが構築しようとしているTwitterボット軍団は、皆さんに代わってどんな戦いにも立ち向かうことができます。しかし、おそらく最も危険なのは、ボットによって煽られたインターネット上の偽情報戦争です。インターネットの創始者であるタイム誌のバーナーズ=リーは、ほとんどの人が少数のソーシャルメディアサイトや検索エンジンからニュースを入手し、リンクをクリックすることで収益を得ているため、偽情報が拡散するのは非常に容易だと述べています。これらのサイトのアルゴリズムは、人々が関心を持ちそうなものに基づいてコンテンツを優先することが多く、つまりフェイクニュースが「野火のように広がる」可能性があるのです。
もう一つのリスクは、Twitter で蔓延している暗号通貨関連のアカウントのように、詐欺を助長するために使用されるアカウントです。
さらに、攻撃者がダイレクトメッセージにアクセスすることで機密情報が漏洩する可能性もあります。
Bleeping Computer は、この問題がどのようにして発生したかを説明しています。
モバイルアプリをTwitterと連携させる場合、開発者には特別な認証キー(トークン)が付与されます。これにより、モバイルアプリはTwitter APIと連携できるようになります。ユーザーが自分のTwitterアカウントをこのモバイルアプリに紐付けると、このキーによってアプリはユーザーに代わってTwitterログイン、ツイートの作成、DMの送信などを実行できるようになります。
これらの認証キーにアクセスすると、誰でも関連する Twitter ユーザーとしてアクションを実行できる可能性があるため、脅威の攻撃者が見つけることができるモバイル アプリにキーを直接保存することは決して推奨されません。
CloudSEK は、API キーの漏洩は、通常、アプリ開発者が Twitter API に認証キーを埋め込んだものの、モバイル版のリリース時にそのキーを削除するのを忘れたことによるミスが原因である、と説明しています。
影響を受けるアプリの中には、数百万人のユーザーを抱える非常に人気のあるものも含まれています。CloudSEKからの警告を受けてから1か月が経過しても、ほとんどの開発者がまだ問題を修正していないため、アプリ名は公表されていません。フォード・モーター社が認証情報を削除するアップデートを行ったため、Ford Eventsというアプリ名が公表されています。
写真: ジョシュア・ホーネ/Unsplash
www.juloda.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
