Twitter

ツイッター歴診断騒動に見るアプリ開発者とユーザのセキュリティ意識問題

543_34

少し前にツイッター歴診断アプリが危険だと話題になりました。

このアプリは、ボタンを押すと自分のtwitterを始めてから何日経ったかを教えてくれるという、極めて簡素なアプリで、気軽に使ったユーザが多くいました。
しかし、ボタンを押した瞬間に結果が自動的にツイートされてしまうことと、勝手にフォローすることで不審を持つユーザが現れ、
更には、認証画面に「プロフィールを更新する。」という項目が含まれていたことから、「このアプリは危険」という情報が拡散されていきました。

 

認証画面について

blogt01

 

問題の認証ページです。
アプリへの権限を渡すパターンはアプリ開発ページを見ればわかるので、
見てみますと…

 

blogt02

はい…この3つしかありません。
Read only…ユーザツイートの取得やお気に入りやユーザプロフィールの取得が出来ます。ユーザに変わってツイートやフォローなどをすることは出来ません。
Read and Write…ツイートやフォロー、お気に入りの追加などをユーザに変わってアプリ側で実行することが可能になります。
Read,Write and Access direct messages…上記の「Read and Write」に加えてDMの操作が可能になります。

一番使われているのは、「Read and Write」でしょうか。
何故かというと、ユーザに変わってツイートをすることが可能になるからです。
しかし困ったことに、使わない「プロフィールの更新」や「新しくフォローする」機能までおまけでついてきてしまいます。

正直これはtwitter側の問題な気がしてなりません。
認証画面には「この連携アプリを認証すると、次の動作が許可されます。」と書かれていますが、
実際にはここに記載されていない項目も許可されてしまいます
例えば、「Read and Write」では、「お気に入りの追加」なども行えます。

この辺はAPIを公開しているtwitter側の落ち度だと思っています。

 

 

開発者の問題

今回の例に出したツイッター歴診断アプリの問題は…

・断りもなくツイート
・断りもなくフォロー
・開発者情報が空欄

この3つですね。
一般的なアプリなら、twitterアプリ認証とは別に実行前にユーザの許可を求めます。
ボタン一つで診断が完了するとしても、「ツイートする」というチェックボックスを設けることで、
ユーザはアプリ側でツイートさせることを認識出来ますし、
勝手にツイートされるのが嫌ならチェックを外せばすみますね。

また、自動ツイート機能を辞めて、twitter公式のボタンからツイートをさせるようにすれば、
「Read only」だけの権限ですむので、ユーザにいらぬ不安感をもたせることもないでしょう。

 

 

ユーザの問題

気軽に「連携アプリを認証」をすることはリスクがあり、
上位の権限を与える時は本当に信頼出来る制作元のアプリだけにしましょう。

連携アプリの許可を取り消す方法は、ツイッター公式サイトへ行き、
歯車のマークをクリックするとプルダウンメニューが出てきますので「設定」を選択後、「アプリ連携」をクリックすると、現在連携しているアプリ一覧が表示されます。
ここで不要なアプリは消してしまいましょう。

 

blogt03

 

 

最後に

twitter公式サイトはFirefoxだと検索などが動かないので早く直してくれませんかねぇ…(愚痴)