Twitter上で「スパム」だ「乗っ取り」だと話題になっている「心理テスト」(アプリ名「Twitter for Web」「Twitter Mobile」など)をあえて連携してみた話。

スポンサード リンク

Twitterで「【心理テスト】10秒ですぐ分かる!SかMか判断する心理テスト。」みたいな画像付きのツイートに含まれるURLから認証ページに飛び、連携アプリを認可してしまう事で、自身のアカウントでも「意図せずそれらのツイートが投稿されてしまう」といった連携アプリが話題になっていたので、試しに連携してみた話です。

具体的には…。

f:id:otapps:20151108171055p:plain

上記のようなツイートのリンクをクリックすると…。


f:id:otapps:20151108174152p:plain

みたいな連携画面が表示され、連携すると…。


http://kir956831.kir.jp/?c=secret&a=20151008031605

のようなページにリダイレクトされます。
で、その後しばらくは何も無し

しばらくしてから自身のアカウントのツイート一覧を覗いてみると…。

f:id:otapps:20151108172301j:plain

みたいな感じに、最初のツイートと同様のツイートが勝手に投稿されてしまっていました。
さて、アプリ名が「Twitter for Web」や「Twitter Mobile」などとなっていて「紛らわしい事この上無い」感じだし、OrganizationでもTwitterを自称している事、更には連携後にユーザの意図しないツイートを行うという点で「非常に行儀が悪い連携アプリ」だと思うので、上記のようなツイートから、「Twitter for Web」「Twitter Mobile」などを認可してしまった方は、

【更新】Twitter連携アプリの連携解除方法。(PC・モバイル 両対応) - お手上げドットコム

を参考に連携アプリの解除を行う事をオススメします。

確認出来た現象としては、ツイートの投稿のみなので、別に「スパムだ!」「乗っ取りだ!」とか言うつもりは無いけれど、アプリ名やOrganizationの紛らわしさ的に、「悪気なかったんだけど!!てへぺろっ (๑´ڡ`๑)」ってのは通らない気がするし、そのお行儀の悪いアプリをRead and Write以上で認可している事に変わりはないし、認可しっぱなしにしておくメリット皆無だと思うので*1








ていうか、連携前にリダイレクトされる認証用のURLが…。

f:id:otapps:20151108174527p:plain

みたいな感じで某ホスティングサービスのIPアドレスである事、更にはTwitterデータのログイン履歴で表示されるIPアドレス*2も…。
f:id:otapps:20151108174915p:plain
と、同一である事を考えると、このアプリの作者さんはそこのホスティングサービスのユーザである可能性が非常に高いと思うんだよねー。*3
そのホスティングサービス、結構利用規約がシッカリしていた気がするのだけれど、作者さんはそこでこんなお行儀の悪いサービスを公開して大丈夫なのかしら。


f:id:otapps:20151108175901p:plain

*1:「Twitter for Web」はRead and Write、「Twitter Mobile」に至っては、Read, Write and Access direct messages。Twitter連携アプリのアプリケーションタイプと、それぞれを認可した場合に許可される操作については Twitter連携アプリのアプリケーションタイプと、それぞれを認可した場合に許可される操作について。 - お手上げドットコム を参照。

*2:TwitterデータではAPIでのリクエストも「ログイン履歴」として表示されるので、この場合はサーバのIPアドレス

*3:つぅか、連携後に飛ばされるURLもそのホスティング業者提供のドメインだし…。