Twitterアカウント乗っ取り問題を検証中
-
- いいね!25
ゆーごく
@uu59
@eria02 ご回答どうもです。追加でお聞きしたいんですが、いっぱいあるアカウントの管理ってどういうふうにされてますか? 暗記してるパスワードを使って必要なときにログインしてるのか、ブラウザにパスワ.. http://t.co/2YLEjdC1
2012-07-20 02:44:27
ゆーごく
@uu59
ん。94アカウントあるってことはメアドもそんだけあるんだよな。その5アカウントだけ同じメールアカウントで取得したんならメアドも関係するだろか。メールにはパスワード書いてないしリマインダ使ってもパスワードわからなければ何もできなかったはずだし関係ないか。
2012-07-20 02:49:45
mala
@bulkneets
ブラウザでログインしてないのなら → XSSやクリックジャッキング(フレーム拒否してるからポップアップウィンドウタイミングよく重ねあわせとかキチガイみたいな手法)の可能性がなくなる
2012-07-20 02:59:48
ゆーごく
@uu59
@bulkneets iOS上でユーザーに気づかれずに勝手にアプリ認証する脆弱性って何か考えられますかね。パスワードは暗記らしいし、もしiOSが5アカ分の情報を保存してたとしてもそれが漏れたとはちょっと考えづらいし、セッション残ってても1アカ分だけだろうし
2012-07-20 03:05:25
ゆーごく
@uu59
仮にiPhoneからアカウント情報盗んだとしても、それでやることが黒歴史クリーナーの認可だけってのもなんか手法のシリアスさに比べてやってることがカジュアルすぎてちぐはぐ
2012-07-20 03:09:10
ゆーごく
@uu59
jailbreakされたiPhoneを使っていて怪しげなアプリがインストール済み、それが実はトロイの木馬でバックドアが仕掛けられていてiPhoneの中身が丸見え、攻撃者はリモートでiPhoneに侵入してデータ盗んだ、とか?
2012-07-20 03:12:02
ゆーごく
@uu59
ショルダーハッキングにしたって、5つ分のログインを背後で見守らないといけないわけだから相当辛抱強い計画犯だけどそのわりにやることが黒歴史クリーナー登録かよっていう
2012-07-20 03:18:18
laiso👻
@laiso
サードクライアントiPhoneアプリでツイッターパスワードやトークンをサンドボックス内に復元可能なまま保存してるとかぐらいしか思いつかない
2012-07-20 03:18:26
mala
@bulkneets
iOSはパスワード持ってないのかな?新規token発行できる特別なconsumerがあるのか https://t.co/BeOXn8WG
2012-07-20 03:21:41