認証収集目的の偽診断サイトでうっかり認証してしまったの巻 +仕組みの解説
『自分のアカウントの値段が分かるぞ!』( 開発者:自分のアカウントの値段が分かるぞ!)は、勝手に文章を追加してツイートするEVILサービスなので、Twitter認証して使うと危険。
おもいっきりひっかかったの図。恥ずかしい(///)
ツイート
他の人のツイートをみて、診断サイトをひらこうとしたらいきなりTwitterの認証画面(ここで怪しいと気づくべき)。
その後、診断サイトで診断を実行。
結果は画面に表示されて、へーとおもって終了。
:
と、思いきや勝手にツイートされてた。おい!
勝手にツイートはかなりギルティ!(しかもそれだけの問題ではないかった)
しかも
「自分のTwitterアカウントの値段が分かるサイトが面白いwww」
「俺のアカウントたったの300円www」
「孫さんは2500万らしい!」
「流石すぎる。。。」
と僕の入力していない文言が勝手にはいってる。
しかも、ツイートよくみると添付された診断結果画像は別の人の結果画像だな…(rocketnews24のもの)。
診断結果も300円じゃないしね。
でも、この診断サイトはちゃんとしたもの(time.comのサブドメインにある)に見えるけど、なんでこんなEVILなことするの?
実は診断サイト自体は安全なものでした。
診断サイトは、以下のものです。
Interactive: This Is How Much Money Twitter Owes You | TIME
いろいろ試してみたら仕組みがわかりました。
『自分のアカウントの値段が分かるぞ!』のサービスが認証後、勝手にツイートしてから診断サービスに転送してるようでした。
診断サービスに転送する前にツイートしてるのでツイート文言は入力値にかかわらず固定(300円)。
しかも添付される画像も固定。
なんて雑な仕組みだ。
偽診断サービスの流れをまとめると。
1)Twitter認証画面で認証
2)固定の診断結果を勝手にツイート
・診断結果は固定内容
・それらしい文言をいれて煽る
・ツイートに1のURLをいれて被害者を増やす
3)本物の診断サイトへ転送(本物なので怪しまれない)
4)あなたは、なんの疑いもなく診断を行う
5)サイトを閉じる
6)勝手にツイートされていることを気づく(あるいは、気づかない)
7)他の人がツイートをみて、URLからサイトを開く→1)に戻る
1の時点で認証情報収集されてる。
収集された認証情報(OAuthのトークン)さえあれば、ツイートやDMをいつでもナンデおでも勝手に行うことができる。
コワイ!
うっかり使ってしまった人は、一刻も早くアプリ連携を解除すべき。
この仕組みはOAuthの認証プログラムさえ書ければ超カンタンに作れるので、今後類似の偽サイトがどんどん出てくる恐れがあります。気をつけましょう。
# どっちにしても認証を許可するときは気をつけないとね・・・。いきなり認証ページに飛ばされたときはかなりヤバイと思うべき。