多くのTwitter用ウェブアプリと同様、TweetDeckでも下のような画面で認証することができるのですが、たとえTweetDeckのユーザであっても、安易に「連携アプリを認証」ボタンを押してはいけません。
TweetDeckは、先日Consumer KeyとConsumer Secretが漏洩したTwitter連携アプリの中の、唯一のウェブアプリです(参考:TweetDeck をハックしたら予想以上に酷かった件)。幸いなことに、OAuthログインができるようにはなっていないため、CSRFのような使い方はできません(上のような画面で止まります)。しかし、フィッシングっぽく悪用される危険はあります。
TweetDeckユーザの中には、上のような画面が出てきたら、つい認証ボタンを押してしまう人がいるのではないでしょうか。
Consumer KeyとConsumer Secretが漏洩しているので、OAuth認証でTwitterを利用するWebアプリケーション(PHP PECL/oauthの場合)をちょっと改造して、たとえばダイレクトメッセージを全部読み込んでからhttps://web.tweetdeck.com/にリダイレクトするようにしておけば、ついボタンを押してしまった人には気付かれずに、秘密の情報を抜き出すことができます。
Twitterは、あらかじめ登録されたコールバック先(ドメイン)にしか転送されないようにするなどの対策をするべきなのかもしれませんが、APIが使いにくくなるのは困るので、現行のConsumer KeyとConsumer Secretを一度向こうにして、これらを暗号化したバイナリの配布を促すという感じにしてもらえればと思います。
ここで紹介したような話とは別に、漏洩したConsumer KeyとConsumer Secretがユーザに害を与えない方法で流用されるのは、最近開発者に対して優しくなかったTwitterの、自業自得な気もします。
ピンバック: TweetDeckの認証に注意! | 配電盤 : ちゅどん道中記