楽天銀行アプリがUDIDを使用していた件 - UDID使用の是非とSSL利用目的の変遷
-
- いいね!1
Hiromitsu Takagi
@HiromitsuTakagi
@rocaz …ただし、結果に対する責任を負わされる可能性は常に存在します。それを上回る正当性が必要と思います。
2011-01-23 14:26:11
Hiromitsu Takagi
@HiromitsuTakagi
@rocaz なお、リバースエンジニアリングが著作権法に抵触し得ると言われるのは、デコンパイル時等にプログラム著作物の複製又は翻案が伴うことによるものと言われています。参照 http://t.co/XYAazGQ
2011-01-23 14:27:07
Hiromitsu Takagi
@HiromitsuTakagi
@rocaz そういえば、先日のWSJの件 http://t.co/hR5noFf のきっかけになったと思しきセキュリティ屋の指摘 http://t.co/Rk1SC3x でも、「Unknown - SSL」(p.9 Table 1)とあったので、てっきりできないものと。
2011-01-23 14:30:32
Hiromitsu Takagi
@HiromitsuTakagi
と思ったら、追記に出てた。http://t.co/BYuQ7PC 誰かに指摘されたのかな。 RT …思しきセキュリティ屋の指摘 http://t.co/Rk1SC3x でも、「Unknown - SSL」(p.9 Table 1)とあったので、てっきりできないものと。
2011-01-23 14:36:59
ROCA
@rocaz
@HiromitsuTakagi へー面白いですね、この調査。しかも内容がひどい。。PaypalやAmexとか気になるところです。モバイル関係は海外では急速に立ち上がってきた分野なので多分セキュリティ屋さんでもなかなか手法とかが追いついていないのかも知れないですね。
2011-01-23 15:04:47
ROCA
@rocaz
@HiromitsuTakagi あ、ちょっとしたTipsでご存じかもですが。もしUDIDFakerが使えるなら、XCodeのオーガナイザー - DevicesのConsoleからアプリがUDIDを取得したタイミングをUDIDFakerがログ出力で教えてくれるようです。ご参考まで
2011-01-23 15:09:59
Hiromitsu Takagi
@HiromitsuTakagi
.@rocaz 本題の件、いくら不格好な設計だとしても、脆弱でない(立証できていない)以上、そこを突くのはよろしくない(ニセ脆弱性)。それよりも、「改竄されることも折込済み」と先方が認めている無用なUDID送信を、プライバシーの問題として廃止させるべく一点勝負とするのが王道かと。
2011-01-23 15:15:39
ROCA
@rocaz
高木さんに教えてもらったこれ http://goo.gl/Cf71U を読むと例のまねきTVとか日本は主体の認定とかの点であまりに外形性に因りすぎているのではないかなと感じる。なので本質論がしにくい。#librahack なんかでも警察・検察サイドでの遠因だったのではないかな
2011-01-23 15:17:13
ROCA
@rocaz
@HiromitsuTakagi もう調査は十分だと思っていますので今後何かの行為が伴うこともないです。またブラウザからもサーバーのルートにしかアクセスしていません。足下をすくわれないように気を付けます。いろいろとご助言ありがとうございます。
2011-01-23 15:31:25
ROCA
@rocaz
今回の調査も通じて感じるのは、モバイルアプリ時代になって、SSLは「ユーザーデータを守る」ことから「アプリ仕様を秘匿する」使い方に変質させられつつあるのではないか、という疑い。WEBアプリではそんなことはできないのだけど開発者が安直な発想に走りつつ無いか心配
2011-01-23 15:43:45
水無月ばけら
@bakera
[メモ] ビックカメラの安全性を確認した「第三者機関」はセコムトラストだそうで。 https://twitter.com/HiromitsuTakagi/status/29017957954748416
2011-01-23 16:26:17
水無月ばけら
@bakera
ちなみにこの話ですね。> 「第三者機関によるセキュリティ診断によりドットコムサイトの安全性が確認されましたので」 http://www.biccamera.co.jp/ir/info101123.html
2011-01-23 16:30:22
徳丸 浩
@ockeghem
セコムトラストさんは本当に「安全を確認した」と言ったのかなぁ。診断屋は、○○の仕様で診断したが脆弱性は発見されなかった、とは言える。「安全性を確認して欲しい」と依頼されたら、相当身構えると思う。まぁ、費用次第というところではありますが
2011-01-23 23:19:18
ROCA
@rocaz
再送したら楽天CERTから返答ありましたよ。「そちらの見解と相違があり再度調査中なのでもう少し時間かかる」と。相違とやらに不安の残る今日この頃
2011-01-26 15:02:49
ROCA
@rocaz
楽天銀行アプリも費目をツイートできるみたいだけど謎だよね > Edy公式のAndroid用アプリの仕様がヤバそう、というか謎すぎる - あのに・すなる http://j.mp/fumhle
2011-02-01 11:41:38
ROCA
@rocaz
楽天CERTから返答。「UDIDは反社会勢力から顧客を保護する目的で参考情報として送信している」でも「口座情報とは紐付いていない」そうだ。言い訳の想像は付くけどよく分からないので再度質問。なおUDID利用の注記は昨年9月のAppStore規約変更に伴い今後明示するとのこと
2011-02-03 19:37:45
ROCA
@rocaz
iOS Developer Program規約上は昨年9/9以前は、UDIDの取り扱いについて何の制限もなかったんだっけ?でも楽天銀行アプリの登録はそれ以降ですけどね・・
2011-02-03 19:40:24
ROCA
@rocaz
楽天CERTに再質問して一週間経ったけど反応無かったので再送したら「ただ今問い合わせ中のため・・」と返ってきた。このパターン二度目。時間かかるならあらかじめ断りのメール入れるのが一般社会人のマナーと思うんだけど、どうよ。一応は顧客でもあるんですけど
2011-02-10 20:17:41
ROCA
@rocaz
ブログ書きました: 続々: 楽天銀行アプリのセキュリティについて – 結局UDID送信は中止しないし使用理由開示も行わない http://goo.gl/fb/FFkhM
2011-02-16 21:16:12