#カレログ 技術的な解析・解説など by @markwat1
カレログアプリ カレログ利用者と端末所有者のメールアドレスに同じアドレスをいれた時は再入力を促されるようになった。さすがに同じのはまずいと気付いたらしい。 でも、端末所有者に適当なメールアドレスを入れても通るのは今まで通り。 #カレログ
2011-09-09 12:47:26カレログ2は有料アプリで提供とすでに発表されているので、私の過去の指摘「有料で提供すればいいのに」というのは事実誤認であることがわかったので、削除しました。 お詫びして訂正します。#カレログ
2011-09-09 15:08:22有料アプリになった時点で金払ってまで検証する気は全く無いので、カレログのセキュリティ周りの検証とかはここまでだな。 使う人は自分で検証して使ってね。 #カレログ
2011-09-09 15:14:15
登録ユーザー (カノジョ) のデータ管理
カレログアプリでは登録後起動するとカレログユーザのメールアドレスを見ることができる(変更はできない)。つまり勝手にカレログを入れられたことに気付いた所有者がみると、誰が入れたのか想像できてしまう。 が、しかしこれは回避できる。続く #カレログ
2011-09-09 13:00:28続き)カレログアプリに入れたカレログユーザのメールアドレス変更方法:1.一度正しいメールアドレスでインストールを実行。2.登録済みメールが届いたことを確認し、アプリを削除。3.再度アプリをインストールし、架空のアドレスで再登録。 (続く #カレログ
2011-09-09 13:02:41続き)カレログのサーバでは端末の情報をユニークキーとして扱っているらしく、パスワードも変えない。つまり一度登録して得たID/PWは登録を変更しても使える。 つまり一度誰かがある端末に登録すれば、今後別の人が登録してもそのID/PWが使える。(続く #カレログ
2011-09-09 13:05:28続き)これを使って、本人にしられずカレログを使う方法:1.まず一度カレログをインストールし自分のメールアドレスを登録してアプリを削除。2.所有者にカレログの存在を教えて自分だけで使ったら面白いよといって、自分で登録させる(この時メールアドレスは端末所有者のものを入れさせる。...
2011-09-09 13:08:46続き)端末所有者は自分だけがログを見られると思っているので、安心してカレログを使う。 結果:先に登録したアカウントがそのまま使えるので、ログを見られる、自分の負担も0
2011-09-09 13:10:44続き)追加:カレログのログ確認ページに表示されるユーザ名が最初に登録されたメールアドレスになっているので、端末所有者のメールアドレスに変えておくと、より一層疑われにくくなる。 #カレログ
2011-09-09 13:21:32@markwat1 まーくさん、そんなにシャキシャキ暴いていっちゃって、誰かに刺されでもしたら……。カレログ開発側ではなくカレログつこてはるイタイ女子に。
2011-09-09 13:07:52なにそのトンデモ仕様 orz RT @markwat1: …カレログのサーバでは端末の情報をユニークキーとして扱っているらしく、パスワードも変えない。… つまり一度誰かがある端末に登録すれば、今後別の人が登録してもそのID/PWが使える。… #カレログ
2011-09-09 13:13:17@biac 3回くらいメールアドレス変えて登録しなおしてみましたが、ID/PWは全く変化しませんでした。(^^)
2011-09-09 13:22:06追記:カレログのログ確認ページではパスワードは変更できないので、端末所有者に勝手にパスワード変更されて見えなくなる心配はない。 #カレログ
2011-09-09 13:28:09問題点整理:1.パスワードを平文のメールで送っている。2.別のメールアドレスで再登録したのにIDもパスワードも変更しない。3.パスワードの変更ができない。 #カレログ
2011-09-09 13:33:10個人的評価:技術は標準レベル以下、セキュリティは最低線以下 個人の位置情報や電話番号、(以前のバージョンは通信履歴まで)収集するサービスにしては、セキュリティレベルが低すぎる。 #カレログ
2011-09-09 13:37:37前向きの改善案(最小限のセキュリティの為に):1.アプリを再登録したタイミングはサーバで認識できるのだから、IDはそのたびに変更。端末IDでユニークネスが取れるので同じ端末IDで収集したデータはその時点で削除 2.PWはアプリ登録時に入力させてメールでは送らない。 #カレログ
2011-09-09 13:42:27実装試験をしたわけではないが、カレログが端末所有者のメールアドレスを手入力させること自体がセキュリティ上おかしい。ググってみたところ、登録Accountの取得 - Android 1000 tips http://t.co/IFXAOlK APIあるのになぜ手入力? #カレログ
2011-09-09 16:04:13先のことから推察するに、APIを使うとpw入力を求められる(=端末所有者の操作が介在する)ため、これを排除するという設計思想で、端末所有者のメールアドレスを手入力させるという設計とした。としか思えないのだが… あくまで推定で実証したわけではないのが弱点か #カレログ
2011-09-09 16:16:02#カレログ AccountManagerつかって、アカウント取ればいいじゃないかというTweetがあったので試してみた。 確かに Gmailのアカウントが取れる。 確かにこれで端末に登録されているアカウントであるとは言える。(続く
2011-09-09 16:15:50#カレログ 続き)とはいえ、今の端末は複数アカウント使えるので 一時的に端末にアカウントを追加して実行すれば回避可能
2011-09-09 16:22:36@markwat1 おお! ありがとうございます。「ぐだぐだいう前にSDK入れて実証しろよ」というおしかりは受けます ^^; しかし、10数年ぶりにコードを書くのはたぶん無理(笑)
2011-09-09 16:20:04@chamiu_it ご指摘の件は思いついておらず、ご指摘を見て気付きました。ありがとうございます。 やり方は前から知ってたはずなんですけどねぇ(^^)
2011-09-09 16:27:03