[OpenTween-announce] 【重要】OpenTweenのソースコードに含まれているプライバシー問題について

Back to archive index

Kimura Youichi kim.u****@bucyo*****
2012年 1月 25日 (水) 19:37:33 JST


kim_upsilon です。

現在 OpenTween に含まれる Tween 由来のソースコードからプライバシー問題が
発見されました。OpenTween を自分でビルドして利用している方は、該当する機
能の使用を中止してください。なお、OpenTween は現在バイナリ配布を開始して
いないため、当プロジェクトでは影響するソースコードの修正のみ行います。

対象ユーザー:

 OpenTween を独自にビルドして使用しているユーザー

該当する機能:

 bit.ly および j.mp による URL 短縮機能

詳細:

 上記の機能を使用すると、ユーザーが OpenTween を使用して bit.ly または
j.mp によって短縮した全ての URL の情報は、ユーザーの同意無しに開発者が閲
覧可能な状態になります。
 この問題はソースコード中にハードコーディングされた bit.ly の API キー
によるもので、本来 bit.ly の API キーはユーザー自身が bit.ly ウェブサイ
トより取得し設定すべきです。取得される情報の中に直接 Twitter のユーザー
名は含まれていませんが、短縮前・短縮後の URL が収集可能なため、短縮後の
URL を元に *ユーザーを特定できる可能性が高い* です。


また関連して、旧版である Tween 1.1.0.0 には Google Analytics によるト
ラッキングを行うコードが含まれており、Twitter のユーザー ID 及びユーザー
が使用した一部の API 名が Google Analytics に送信されるため、「プライバ
シーに敏感な」方は当該バージョンの使用を控えることをお勧めします。
(OpenTween のソースコードからは削除済み *1)

*1 https://github.com/opentween/OpenTween/commit/50816e8e

-- 
Kimura Youichi <kim.u****@bucyo*****>
  https://upsilo.net/~upsilon/

-------------- next part --------------
$B%F%-%9%H7A<00J30$NE:IU%U%!%$%k$rJ]4I$7$^$7$?(B...
$B%U%!%$%kL>(B: signature.asc
$B7?(B:         application/pgp-signature
$B%5%$%:(B:     836 $B%P%$%H(B
$B @ bL@(B:       OpenPGP digital signature
Download 



OpenTween-announce メーリングリストの案内
Back to archive index