Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

写真投稿サービス「TwitPic」に偽装したサービスが発生 - アプリ連携認証に注意を

Twitterと連携する写真投稿サービス「TwitPic」を偽装した不審サービスがインターネット上で話題になっている。

問題のサービスは「Picture Twitpic」と名乗るサービスで、写真と見せかける短縮URLをツイートで拡散している。短縮URLをクリックすると、TwitPicのサーバではなく、レンタルサーバを利用したIPアドレスベースのURLを経由してTwitterにリダイレクトされ、連携アプリとしてアカウントを利用することについて許可が求められる。

アプリ認証ページでは、アプリの名称を「Picture Twitpic」と名乗っており、URLやアイコンを「TwitPic」に偽装したものを使用していた。

誤って許可すると、連携アプリの認証サイトへ誘導するツイートを許可なく行うほか、ユーザーの許可なくプロフィールを更新されたり、フォローなど行われるおそれがある。

今回の問題について、本家サービスのTwitpicによるアナウンスなどは行われていないが、問題に気が付いたユーザーによるツイートが広がっており、まとめサイトなどで情報の集約なども行われている。

(Security NEXT - 2012/03/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

コンタクト専門店のTwitterアカウントが乗っ取り被害
セキュリティがテーマのマンガをTwitterで配信 - JNSA
公共機関装うSNS上の偽アカウントに注意 - DMでフィッシングサイトに誘導
都食品安全啓発チラシの二次元コード、不正サイト誘導のおそれ
Twitterにイベント応募者の個人情報含む写真を投稿 - 大阪市立科学館
「PrintNightmare」パッチ適用後もリモートから攻撃可能 - 研究者が投稿
セキュリティがテーマのコミック配信企画、シーズン2が始動
同業者装いセキュ研究者に忍び寄るサイバー攻撃者 - 解析情報にワナも
キャンペーン応募者の個人情報が閲覧可能に - 人材派遣会社
「Exchange Server」脆弱性、ランサムウェア「DearCry」の標的に