2013年03月11日

TweetDeck をハックしたら予想以上に酷かった件

【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト - uinyan. com

Twitter で

TweetDeck
Tweetbot for iOS
HootSuite
iOSのデフォルトアプリ
ShootingStar/Pro

等のコンシューマキーが流出して、それを利用したウィルスが猛威を振るってたようです

ためしに、 Tweet Deck でコンシューマキーとコンシューマシークレットキーが抜き出せるか試してみました

tw2
まず、アプリケーションを起動して、 oauth_c でメモリ検索を行いました

tw3
すると簡単に コンシューマキーが検索に引っかかりました





次に、テキストエディタで TweetDeck.exe を開いて、コンシューマキー付近を捜してみたところ…

tw4
生のコンシューマシークレットキーらしきものが埋まってました。

要するに、暗号化すらせず、テキストでキーが実行ファイルに埋め込まれていたから、ハッキングされたのですね

コンシューマキー・シークレットキーが漏れるのは当たり前という意見がありますが、もともと、コンシューマシークレットキーはハッシュキーを作るときにだけ使うもので、送受信でも出てくるものではないので、ちょっと解析したくらいじゃ分からないもので、バイナリに埋め込むのはナンセンスです。テキストエディタで開けば見えてしまうわけですから、言ってみれば、PGPのメールの自分の秘密鍵を、ホームページに公開してるようなもんです。

ためしに、もふったーで、TweetDeck のキーを使ってみる実験(リミットを解除して実験)

tw5
認証しても、TweetDeck のページに飛ばされるのですが

tw7
&oauth_verifier= 以降の文字列をPINに入力すると使えてしまいます

tw6
認証できた様子。

少なくとも、 公式クライアントの TweetDeck のキーが流出したのは自業自得のようですね ・ω・

ちなみに、最新版 TweetDeck に OpenSSL v1.0.1c が含まれていますが、 CVE-2013-0169
などのセキュリティホールやDoSの脆弱性を含んでいるバージョンです。

1.0.1e にアップデートすることを強く勧めます

JVNDB-2013-001460 TLS プロトコルおよび DTLS プロトコルにおける識別攻撃およびプレーンテキストリカバリ攻撃を誘発される脆弱性
JVNDB-2013-001459 OpenSSL におけるサービス運用妨害 (DoS) の脆弱性
JVNDB-2013-001458 OpenSSL の TLS の実装におけるサービス運用妨害 (DoS) の脆弱性


15:00追記
用語が一部分かりにくいと思うので補足

ツイッターアプリごとに コンシューマーキー(CK)と コンシューマーシークレットキー(CSK)というのがあります。

ユーザーごとに持ってるのが トークンキー(TK)と トークンシークレットキー(TSK)です。
(アプリケーションを承認するとパソコンや端末に保存されます)


ツイッターで何かリクエストを送るときには 生の CK や TK を送信しますが、 CSK はそのまま送信されずに CSKとTSKをくっつけて かき混ぜた後、ある規則で一部を取り出したデータを送信する (専門用語で ハッシュっていう処理) なので 通信内容を見ただけでは TSKを知っていても、利用者は通常 CSKを特定することはできないのです。

CKとCSKの両方があるとアプリを偽装することができてしまいます

このCSKを生のテキストで埋め込んでいたから、本家(買収された)アプリなのにこの実装はありえないだろってわけです

19:45 追記
キーなんか漏れてあたりまえだから、難読化にコストかける必要はないって意見も結構 頂いたんですが、Twitter の開発フォーラムでは、結構まじめにコンシューマシークレットキーの保護方法について論じられてるのだけど、一般的な感覚では違うのだろうか?

Best practice for consumer secret and key in a Java application | Twitter Developers
How to protect my Consumer Key and Consumer Secret Key
Protecing consumer secret | Twitter Developers

でも、漏れたら新しく取得すべきって言ってるんだから、できるだけ漏れにくくしておくべきで、見本となるべき公式アプリが手抜きってのはまずいと思うんだな →振り出しに戻る


Twitter のタイムラインみてたら勘違いしてる人がやたら 多いので補足。

× Tweet Deckは危ないから使っちゃ駄目
◎ TweetDeck などのキーを抜いた悪質なソフトが公式クライアントを騙って認証を求めてくるケースがはやってるらしいのでうかつに 信じてはいけない & 安易な実装をして流出した TweetDeck にも責任があるんじゃないかい。

上ではなくて、下ってこと。


関連記事
【TweetDeck訃報】 Air版も、Chrome版も、あるんだよ→全部同じ鍵
もふったーがハッキングされたので、本気でプロテクトかけてみた


blackwingcat at 08:30│Comments(7)TrackBack(0) | |
このエントリーをはてなブックマークに追加
Twit/Chat/メッセ | Security

Twitter Feedback

トラックバックURL

この記事へのコメント

1. Posted by 名無しさん   2013年03月11日 17:52
ttps://gist.github.com/mala/5062931
> 配布アプリでconsumer key/secretが漏れている →
> 想定範囲内です。問題ではないです。暗号化とか難読化とか言ってる奴は殴れ。

だそうです。
2. Posted by 黒翼猫   2013年03月11日 18:20
(通信内容を追えば視認できる) Consumer Key やToken Security Key が漏れることがあるのは想定内で問題ないというのは正解ですが、秘密鍵にあたる Consumer Secret Key は難読化するのは当たり前で、漏れるのは想定内だから平文で書いて当たり前とか言ってるのは、まさに殴れって感じです ・ω・

3. Posted by こんにちは   2013年03月12日 12:38
このことは既出では?
http://hitoriblog.com/?p=15560
4. Posted by 黒翼猫   2013年03月12日 16:20
>>既出
おそらく、その前の話になりますね
「Twitterクライアントの中に内蔵しておかなければならない」
とありますが、生で持ってる必要はないのでした
5. Posted by artmania   2013年03月13日 10:52
まさかgigazineからここへ来るとはw
6. Posted by 黒翼猫   2013年03月13日 11:53
ああ、なんか、アクセス数が多くてTwitterで言及されてると思ったら、
http://gigazine.net/news/20130311-headline/
GIGAZINE さんの11日のヘッドラインニュースに掲載されてたのですね・ω・

2回目だなぁ
7. Posted by ugambow   2014年03月04日 03:29
これが今でも利用できるのであれば完全?なる実況等にうってつけクライアント(やるなら2chが一番だけども)も(ryという妄想を、たまたま別のwin向けクライアントを再導入した後で色々調べててやってきたこの記事を読みながらしてみる

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔   
 
 
 
livedoor プロフィール
My PC
SNOWSTORM(P5E3 Premium)
OS:Win2000AdvancedSv
CPU:Xeon(4Core) 2.83G
Memory:8G
VGA:NVIDIA GTX 780Ti
HDD:SSD(32G)
    +SATA(540G+180G)
Crystal SCR:244765
SNOWFOX2(W860CU)
CPU:Core i5-540M(2.53G)
OS:Win2000Pro
Memory:4G
VGA:Geforce GTX285M
HDD:SSD(160G)
Crystal SCR:176460
SNOWMOBILE3(CF-J10S)
CPU:Core i5-2410M(2.3G)
VGA:Intel HD Graphics
HDD:SSD(128G)
Windows2000
Memory:6G
Crystal SCR:133495
SNOWMOBILE(N10Jc/故障)
Windows2000/XP Home
Crystal SCR:38316
SNOWLEO(MA206J/A/休止)
OS:OSX 10.4 +
Windows2000Pro(Solo動作)
Crystal SCR:24061
Windows 2000の セキュリティ対策について
FFR yarai(脆弱性防御)
SymantecEndpointSecurity 11 MR7
Windows Defender
記事検索
訪問者数

    今週のアクセス数

    Win2000お勧め
    お勧め記事
    Twitter Client Mo-Footer
    .NET FrameworkのUninstall
    lolifox 0.3.8.x
    WindowsのシャットダウンTips
    Fox Launcher
    ウィルス感染を手動で見つける方法
    Unknown Hard Errorとサルベージ
    Dependency Walker 日本語化
    Ultra VNC 1.0.6/1.0.8 を日本語化
    IME補完計画
    BSoD(ブルースクリーン)特集
    デフラグ時の4つの心得
    不明なデバイス探し
    SETUPAPI/NTDLLBugFix
    DNSデボルブ用更新[KB957579]
    最新 update.sys!
    4Thread以上のCPU最適化
    Win2000マルチコアで最適化
    Windows 2000の通信速度改善1
    Windows 2000の通信速度改善2
    内蔵簡易FireWallを使う
    ワームに感染しないインストール
    Remote Desktop Client
    IME 辞書 Tips
    Win2000用セキュリティSOFT
    不要なファイルの削除
    Win2000カスタマイズ
    便利なキーボードショートカット
    6月末まで使える体験版セキュリティ

    非対応ハード動作編
    HTC NDIS Driver
    Intel HD Graphic Driver
    VMWare Player 3.1.x
    Conexant HD Audio Driver
    NVIDIA WHQL Driver
    Intel Chipset 最新 INF
    Sentelic Finger Pad Driver
    ATI Legacy Driver 10.2
    AMD Radeon Driver 8〜11
    ATI Ahci/Raid Driver
    Intel SATA AHCI Driver
    D21LC(eMobile)
    USB-WSIM
    UVC カメラ
    Logicool Webcam
    Logicool ゲームパッド
    XBOX360用コントローラー
    Logicool Mouse
    Microsoft IntelliPoint
    iPod Touch/iPhone Driver

    非対応アプリ動作編
    Flash Player 10.3
    Java 6 JRE
    Java 7.0 JRE
    ティルズウィーバー
    Natal Online
    コンチェルトゲートフォルテ
    シルクロードオンライン
    東方幻想麻雀
    IME2010 Installer
    Adobe Reader X for Win2000
    Baidu IME 2.x
    MMORPG ドルアーガーの塔
    Adobe Air for Windows 2000
    Baidu IME
    iTunes 10.x installer
    Evernote 4
    Janetter
    Second Life
    雀龍門
    Media Manager for PSP 2.5a
    .NET Framework 3.5SP1
    ATOK 月額版(2010/2011)
    Leaf 愛佳でいくの!!
    VistaのScreenSaver
    会計ソフト弥生シリーズ 10
    Vegas Movie Studio 9
    EyeBall Chat
    ・CanonPowerShot[Soft/DPP]
    Google SketchUp Pro 7
    dance mixer
    Lismo Port
    DivX
    SONY ScreenSaver
    mixi アプリ
    DivX v7.x
    ニコニコムービーメーカー(動画)
    RC-S330 PaSoRi
    Finale 2009
    ZoneAlarm 8.0
    ルナティア Online
    ストリートギアーズ
    xfy Blog Editor
    Photoshop Elements 7
    Premiere Elements 7
    PowerShell 1.0
    ai sp@ce
    電脳フィギュアARis
    VOCALOID2 ミク・リンレン
    Google Chrome/SRW Iron
    Media Player 10
    ・iTunes 7.6.2を使う方法
    QuickTime 7.5x/7.6x
    foobar2000 9.5.x/9.6.x
    RealPlayer11
    Safari3/4.0
    ShockwavePlayer10/11
    Windows Live Writer
    Live Messenger
    Veoh Web Player / Web TV
    Level-R

    追加機能・カスタマイズ編
    W2K Kernel32 改造計画【BM】
    W2K Update Rollup v2
    XNA/SlimDX
    CPU Core数リミット解除
    OutLook Express 6SP3
    MDAC 2.8 SP2
    GIF/PNGを使えるMSPAINT
    IE5でWindowsUpdate
    MSXML 4.0SP3
    DirectX9.0c(2010/Feb)+拡張
    MS09-062(Gdiplus.dll)更新
    Unicode 制御文字
    Internet Explorer6 Bonus Pack
    夏時間(DaylightSavingTime)
    レジストリバックアップを取る
    IME2007
    Windows Media Bonus Pack
    XPSファイルビューア
    Windows Defender
    文字化け対策(FontLink)
    Meirio(KB927489)
    msconfig
    圧縮フォルダ
    Windows Movie Maker
    IE5.01/5.5/6タブ化
    MediaTypeChanger(EISA構成)
    Win2000 SP4 Support Tool
    kill/tlist with Debugging Tools
    sc.exe with Resource kit
    reg.exe
    TaskTray 256色化
    ISO仮想CD/DVDドライバ
    IE6高速化とWSH 5.7/5.8
    MS Baseline Security Analyzer
    音声認識 API 5.1
    Text Service

    Win2000インストール編
    CF-J10S
    N10Jc
    ThinkPad X200(7454)
    Quad Core/X48/P5E3
    VAIO VGN Type S
    E6850搭載 サポートPC
    Let'snote CF-R6
    MacMini
    Dell LATITUDE D630
    Core i7 + X58 +ICH10R
    790FX + SB750
    Clevo W860CU
    最新コメント
    Categories
    アーカイブ
    Information
    Google広告




    Translate


    このサイトはIE5.x/IE6
    IE5.x Internet Explorer 6.x

    Firefox Firefox ブラウザ無料ダウンロード
    で最適化されています。
    Technorati
    Add to iGoogle
    Amazon GIFTでカンパ

    Donation