Twitterアカウント乗っ取り問題を検証中
@eria02 ご回答どうもです。追加でお聞きしたいんですが、いっぱいあるアカウントの管理ってどういうふうにされてますか? 暗記してるパスワードを使って必要なときにログインしてるのか、ブラウザにパスワ.. http://t.co/2YLEjdC1
2012-07-20 02:44:27ん。94アカウントあるってことはメアドもそんだけあるんだよな。その5アカウントだけ同じメールアカウントで取得したんならメアドも関係するだろか。メールにはパスワード書いてないしリマインダ使ってもパスワードわからなければ何もできなかったはずだし関係ないか。
2012-07-20 02:49:45ブラウザでログインしてないのなら → XSSやクリックジャッキング(フレーム拒否してるからポップアップウィンドウタイミングよく重ねあわせとかキチガイみたいな手法)の可能性がなくなる
2012-07-20 02:59:48@bulkneets iOS上でユーザーに気づかれずに勝手にアプリ認証する脆弱性って何か考えられますかね。パスワードは暗記らしいし、もしiOSが5アカ分の情報を保存してたとしてもそれが漏れたとはちょっと考えづらいし、セッション残ってても1アカ分だけだろうし
2012-07-20 03:05:25仮にiPhoneからアカウント情報盗んだとしても、それでやることが黒歴史クリーナーの認可だけってのもなんか手法のシリアスさに比べてやってることがカジュアルすぎてちぐはぐ
2012-07-20 03:09:10jailbreakされたiPhoneを使っていて怪しげなアプリがインストール済み、それが実はトロイの木馬でバックドアが仕掛けられていてiPhoneの中身が丸見え、攻撃者はリモートでiPhoneに侵入してデータ盗んだ、とか?
2012-07-20 03:12:02ショルダーハッキングにしたって、5つ分のログインを背後で見守らないといけないわけだから相当辛抱強い計画犯だけどそのわりにやることが黒歴史クリーナー登録かよっていう
2012-07-20 03:18:18サードクライアントiPhoneアプリでツイッターパスワードやトークンをサンドボックス内に復元可能なまま保存してるとかぐらいしか思いつかない
2012-07-20 03:18:26iOSはパスワード持ってないのかな?新規token発行できる特別なconsumerがあるのか https://t.co/BeOXn8WG
2012-07-20 03:21:41