Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

写真投稿サービス「TwitPic」に偽装したサービスが発生 - アプリ連携認証に注意を

Twitterと連携する写真投稿サービス「TwitPic」を偽装した不審サービスがインターネット上で話題になっている。

問題のサービスは「Picture Twitpic」と名乗るサービスで、写真と見せかける短縮URLをツイートで拡散している。短縮URLをクリックすると、TwitPicのサーバではなく、レンタルサーバを利用したIPアドレスベースのURLを経由してTwitterにリダイレクトされ、連携アプリとしてアカウントを利用することについて許可が求められる。

アプリ認証ページでは、アプリの名称を「Picture Twitpic」と名乗っており、URLやアイコンを「TwitPic」に偽装したものを使用していた。

誤って許可すると、連携アプリの認証サイトへ誘導するツイートを許可なく行うほか、ユーザーの許可なくプロフィールを更新されたり、フォローなど行われるおそれがある。

今回の問題について、本家サービスのTwitpicによるアナウンスなどは行われていないが、問題に気が付いたユーザーによるツイートが広がっており、まとめサイトなどで情報の集約なども行われている。

(Security NEXT - 2012/03/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

悪用確認済みの「Windowsタスクスケジューラ」脆弱性に修正パッチ - PoC公表から約2週間
Windowsの「タスクスケジューラ」にあらたな脆弱性 - 修正方法は不明
一部セキュリティ製品がJPCERT/CCサイトをブロック - 異常見られず、アクセスに問題なし
中高生向けに「SNSトラブル回避術」、LINE相談窓口も - 東京都
Android狙う情報窃取アプリ、SMSで拡散 - 銀行アプリを偽物に置換
銀行狙わぬ「バンキングトロジャン」も - 標的はクレカやアカウント、仮想通貨も
アーカイブ展開に脆弱性「Zip Slip」 - 多数ソフトウェアに影響
旧政府サイトのドメインを第三者が取得 - なりすましサイトを発信
WordPress向けOGP設定用プラグインに脆弱性
NISC、Twitterのパスワード変更を府省庁へ注意喚起 - 所管業界への周知求める