iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ

(2010/06/12) 結局UDID偽装が可能であったことが発覚しました
iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ」 http://bit.ly/bp7MaT

ソフトバンクの公式iPhoneアプリ「電波チェッカー」がiPhoneのUDID(固有端末番号)を送信している理由についての問い合わせをまとめてみました

登場人物紹介:
@miyakawa11 : 宮川潤一氏 / ソフトバンクモバイル 取締役専務執行役 CTO
@HiromitsuTakagi : ひろみちゅ

話の流れ:
「UDID使う意味無くね?」→「これ以上はセキュリティに関することなのでお話しできない (キリッ」→ 外野「嘘つけ」

まあ普通のエンジニアの感覚ではUDID以外に他の認証で守ってるとか無理だし、負けそうになったから話打ち切っただけだよね、これ

【注記】
もしかして変な誤解が広まると嫌だからまとめます。
まず「SBMが内緒でUDIDを送信している」ということはありません。アプリの公式ページでも送信していることは明示されています(小っちゃいけど)。 http://mb.softbank.jp/mb/iphone/service/app/denpachecker/

論点のポイントになりそうなのは、
・自分のポイントした箇所を確認できるということは、他人のUDIDを知ることが出来れば偽装したリクエストを送って他人の情報を知ることが簡単に出来てしまうのでは?という疑い(認証の脆弱性)
・キャリアであるSBMが利用者の位置情報と端末情報(場合によっては契約者情報まで紐付くかも知れないが現時点では不明)を一括して入手していることに対するプライバシー上の懸念
・そもそもこの目的であればUDIDではなく、契約者とは何をしても紐付かないようなランダムなIDで十分なのでは、という指摘
・「セキュリティ保護上詳細は申し上げられない」という今日び小学生でも言わない台詞をCTOが発言している残念感

と個人的には理解しています。

【関連追加】(2010/6/8)
「電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件」 http://bit.ly/cP4jLz

【追記】(2010/6/8)
ということで宮川氏がメールサポートへ投げ出されてしまいましたので本件のTwitter上でのコミュニケーションは(多分)終了です。お疲れ様でした

【追記】(2010/6/11)
まだ続く限りは更新していきます

【追記】(2010/06/11)
大方の予想通り詰んだ模様です

【追記】(2010/06/12)
偽装可能発覚後の反応は別リストへまとめます

▼続きを読む(残り34行)

by rocaz
63 fav 26810 view
このエントリーをはてなブックマークに追加

コメント

  • どう弄ってもUDID送ってる時点で脆弱性になりかねないよな⋯⋯。バレるとまずいUDIDってどーなん?ホント。
  • 高木浩光さんに「詳細はセキュリティ的な理由で言えない」と書いて逃げようとすると逆に徹底的に追いかけられる。という歴史があるから今後の盛り上がりに期待できる。
  • 電波強度を計測するだけならUDIDじゃなくてただ単に位置情報を取得するだけで良さそうな気はするけども・・・
  • 高木先生に追求された時の正しい対応ガイドラインを誰か作った方がいいんじゃないだろうか。
  • UDIDって現物無いと取得できない情報なんでしょ?脆弱性がどうこう騒ぎ立てる程のものかなぁ。あとハッキングのヒントになるような情報を公開しないのは間違いではない。
  • |∀・)ノ またユーザーデータかき集めて名簿屋に売るんですねわかります  |∀・)ノ で事後にユーザー側に500円押し付けて帳消しのいつもの手順か
  • twitterじゃなくて電話かなんかでやりゃいいのに。
  • UDID偽装だけじゃ他人には取得できないとなると…Wi-Fiじゃなく3G接続じゃないといけないってとこがキモか? ところでどうでもいいけど、UDIDは個人識別じゃなく端末識別じゃね?
  • 一部リストは別にまとめたリストへ移しました
  • 「UDIDはソフトバンク以外の第三者の手に渡った時に初めてプライバシーの問題が発生する」からこそ、UDIDが簡単にわたらないように制御するの。最初から端末の利用状況を課金上常に確認しているソフトバンクと、それを承諾して使っているユーザーに、UDID以外のIDの生成を求めたところで一体何のメリットがあるの?騒いでる人はちゃんとSoftbankの契約書を読んだことあるのかな?
  • さらにUDIDを偽装したとして、それとユーザーのIDを新しく増設する場合、どの方法であればUDIDより優位性が確立できるのか全くいえていない。今の時点でSIMカードの盗難を働かないと特定個人のUDIDはわからないのにかかわらず、安全かどうか確認できない勝手IDを全ユーザーに押し付けて危険性を解決できるとか言うわけ?
  • @inanzu いちおうデマになるんでツッコミ書いておきますが「SIM盗難しないと特定個人のUDIDはわからない」は明確にウソですよ。AppleがUDIDを秘密情報として認証に使うなと明記してますし、UDIDを他人に教えてAppのテストをするのも良く行われています。