「はてなブックマークボタン」、マイクロアドへの行動履歴の送信を停止

Hiromitsu Takagi @HiromitsuTakagi

【募集】iOSアプリ「Google検索」の設定画面の「広告表示設定」で「モバイルアプリ」を選んで「同意する」を押した先に現れるWebページで、「関連付けられているカテゴリ」に何か属性が現れる状態にある（「属性はありません」以外が表示される）端末をお持ちの方。

Hiromitsu Takagi @HiromitsuTakagi

その端末のUDIDを、他のjailbreakした端末にセットしてUDID偽装して同じことをすると、同じ結果が出るはず。それにより、脆弱性が実証される。

Hiromitsu Takagi @HiromitsuTakagi

そうならないとすると、SharedPreferencesとかを使っているとか、そういうことになるが、それだったら、そもそも端末IDを使う必要がないわけで。（どのアプリからも読める値というのはそれはそれで問題が残るのでよくないが。）

Hiromitsu Takagi @HiromitsuTakagi

手元にjailbreak端末がないので、みなさんで実証してほしい。

Hiromitsu Takagi @HiromitsuTakagi

脆弱性を通告したときにGoogleに言われそうなこと。「他人のUDIDはわからないはずだ。我々はUDIDをハッシュ化して入手している。」

Hiromitsu Takagi @HiromitsuTakagi

とにかく、第三者cookieによるアドネットワークではこんなことは起きない。

Hiromitsu Takagi @HiromitsuTakagi

寝る時間がなくなった。いろいろヤバい。けど、研究は進んだ。