X (旧Twitter)のURLカードに致命的な脆弱性。うかつに開かないで

Web

X (旧Twitter)

X (旧Twitter)のURLカードに致命的な脆弱性が見つかりました。海外メディアのBleeping Computerが報じました。

XのURLカード(Webサイトカード、Twitterカードなどとも呼ばれる)を開いた際、カードの左下に表示されているURLとはまったく違うサイトが表示されたことはないだろうか。

例えば以下の例では、『forbes.com』がリンク先として表示されているが、実際にこのURLカードを開くと、仮想通貨詐欺のTelegramアカウントページが開く。

リンク先に『forbes.com』と書いているが
リンク先に『forbes.com』と書いているが

実際には詐欺のTelegramアカウントページが開く
実際には詐欺のTelegramアカウントページが開く

いったいなぜこのようなことが起こるのか、仕組みはこうだ。URLカードを開くと、まず、『joinchannelnow[.]net』というサイトにアクセスする。

まず『joinchannelnow[.]net』へとアクセス
まず『joinchannelnow[.]net』へとアクセス

このサイトは、User-Agentを解析して、人間が使っている普通のブラウザであれば詐欺のTelegramアカウントページへと飛ばし、それ以外のXのBOTなどは『forbes.com』へと飛ばす。こうすることで、Xのシステムを騙し、URLカードに『forbes.com』と表示させている。

BOTからのアクセスは『forbes.com』へとリダイレクトされている
BOTからのアクセスは『forbes.com』へとリダイレクトされている

この巧妙な手口は、仮想通貨詐欺、フィッシング詐欺、マルウェアサイトへの誘導、トロイの木馬を含んだアプリのインストールなどあらゆる悪用が懸念される。

[Source: Bleeping Computer

Xがこの脆弱性を修正するまで、確実に信用できる人以外のURLカードは開かないことを強く推奨いたします。

Posted by にっち