Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。
編集可能

NTT docomo IMEI垂れ流し問題(19日から20日午前6時まで)

2011年10月19日、docomoのスマートフォンにプリインストールのメディアプレーヤーがHTTPヘッダでIMEIタレ流しという困った仕様になっていることが判明した件についてまとめました。(19日から20日午前6時まで) 音楽・動画 | サービス・機能 | NTTドコモ http://www.nttdocomo.co.jp/service/developer/smart_phone/service_lineup/music_movie/index.html (10月20日頃更新され、通常のHTTP通信では送らず、PlayReady®のライセンス取得の際にだけ送り、ユーザの許諾もその都度得ると訂正。) 続きを読む
88
まとめ UDIDに依存する人々とたしなめる人々 Apple Sneaks A Big Change Into iOS 5: Phasing Out Developer Access To The UDID http://techcrunch.com/2011/08/19/apple-ios-5-phasing-out-udid/ の記事で右往左往するUDID依存の方々とそれをたしなめる方々。 関連: UDID及び類似方式による行動ターゲッティング広告のセキュリティ実験に関する呼びかけ http://togetter.com/li/177918 53044 pv 383 131 users 39
まとめ カレログ、applogに続きNTTドコモが参戦? (適宜追加予定) NTTdocomoが今後発売のandroid端末で「プリインストールのメディアプレーヤーが HTTP ヘッダで IMEIタレ流しという信じがたい仕様」にすると発表。 IMEIとは: International Mobile Equipment Identityは、GSM/W-CDMA/iDENの全ての携帯電話や一部の衛星電話に付与される識別番号。GSMのネットワークでは、正当なデバイスかどうかを識別するのに使われており、盗まれた携帯電話を使えないようにすることもできる。例えば携帯電話を盗まれた場合、携帯電話会社に電話してそのIMEIの電話でネットワークにアクセスできないようにしてもらうことができる。そうするとその電話はSIMカードを入れ替えても使えなくなる。 International .. 13021 pv 42 29 users 13
まとめ NTT docomo IMEI垂れ流し問題(20日午前6時~) 2011年10月19日、docomoのスマートフォンにプリインストールのメディアプレーヤーがHTTPヘッダでIMEIタレ流しという困った仕様になっていることが判明した件についてまとめました。(20日午前6時~の分) 音楽・動画 | サービス・機能 | NTTドコモ http://www.nttdocomo.co.jp/service/developer/smart_phone/service_lineup/music_movie/index.html (10月20日頃に更新され、通常のHTTP通信では送らず、PlayReady®のライセンス取得の際にだけ送り、ユーザの許諾もその都度得ると訂正。) 上記ページ、更新前のWeb魚拓: http://megalodon.jp/2011-1019-1834-56.. 13250 pv 17 2 users 2
SAKIYAMA Nobuo/崎山伸夫 @sakichan

@HiromitsuTakagi AMoAd の件ですが、コードを見るとTelephonyManager から IMEI を取得して広告取得のさいに送信するようですね。調査アプリは一番permission がシンプルなこれ http://t.co/fZhRYByp

2011-10-19 00:38:23
SAKIYAMA Nobuo/崎山伸夫 @sakichan

IMEI で tracking するのは AMoAd 以外に AdWhril もだな。AdMob は android_id を使ってる。

2011-10-19 00:50:09
SAKIYAMA Nobuo/崎山伸夫 @sakichan

Mediba の SDK は android_id と IMEI の両方をとるようだな。あと、SDKの構造としては 年齢や性別もパラメータとして持っているけど、手元のアプリのSDKでは使われてない模様。

2011-10-19 01:29:56
SAKIYAMA Nobuo/崎山伸夫 @sakichan

docomoの新機種発表と新サービス発表で開発者向け情報が更新されていたので見たらプリインストールのメディアプレーヤーが HTTP ヘッダで IMEIタレ流しという信じがたい仕様 http://t.co/oJdla4wx

2011-10-19 02:44:38
SAKIYAMA Nobuo/崎山伸夫 @sakichan

i モードIDとかタレ流しで平気な会社だから、Androidでも、標準ブラウザはともかく自社でメディアプレーヤーとか作ると IMEI タレ流しになるのかな>docomo

2011-10-19 02:50:38
SAKIYAMA Nobuo/崎山伸夫 @sakichan

NTTドコモは音楽・動画ファイルを置いたサイトにはIMEIをタレ流すことにしたそうです / “音楽・動画 | サービス・機能 | NTTドコモ” http://t.co/qDOj4Xql

2011-10-19 02:59:15
パピコ @papico_ocipap

IMEIタレ流しも信じがたいが、「共同作業」で相談なしもたまげた……

2011-10-19 03:00:01
わかほう @wakahou

メディアプレイヤーがHTTP通信を行う際は、以下の拡張ヘッダが付与されます x-dcmstore-imei:<SP>xxxxxxxxxxxxxxx<CR><LF> <SP>:半角スペース <CR><LF>:改行コード xxxxxxxxxxxx[15桁]:IMEI [ '_ㄣ' ]

2011-10-19 03:13:39
Hiromitsu Takagi @HiromitsuTakagi

@sakichan うはあ。GJ。いつからだったんだろう……。

2011-10-19 03:14:59
SAKIYAMA Nobuo/崎山伸夫 @sakichan

@HiromitsuTakagi 10/18発表で、これから発売されるモデルにプリインストール。

2011-10-19 03:16:08
Hiromitsu Takagi @HiromitsuTakagi

@sakichan 旧機種も追加でインストールできそうですかね。

2011-10-19 03:19:14
SAKIYAMA Nobuo/崎山伸夫 @sakichan

@HiromitsuTakagi アプリの作りとしては限定する理由はないけど、あとはドコモの営業方針次第かな。

2011-10-19 03:20:51
説教忍者 @ZZZ_wELzOE

@HiromitsuTakagi http://t.co/i04T5jAm IMEIをdocomoID・FOMA端末製造番号の代わりにするつもりか? 魚拓取っておいた。

2011-10-19 03:21:04
つっちー :tsuchi @Tsuchima

ちょwww ドコモェ! IMEI垂れ流しだと!?

2011-10-19 03:25:15
asari @asari

IMEI (国際移動体装置識別番号) の文字が確認できる。ぜひうちのサイトにも動画コンテンツ置いときましょう! 個人情報には当たらないから集めても安心なんだっけ。 / “音楽・動画 | サービス・機能 | NTTドコモ” http://t.co/xZAn4SmF

2011-10-19 03:32:14
Hiromitsu Takagi @HiromitsuTakagi

早めに寝たら悪い夢(AppLog再開のお知らせの夢)見て起きた。現実と区別がつかず、Twitterを見にきたら、docomoダケがたいへんなことになっていた。

2011-10-19 03:35:24
ROCA #COCOAボランティアデバッグ @rocaz

つまり偽リンクでちょろっとメディア再生させればC/PはIMEIによる紐付けまで可能になった訳だ。しかもCookieと組み合わせスーパーCookieの出来上がり "メディアプレイヤーがHTTP通信を行う際は以下の拡張ヘッダが付与されます" http://t.co/2cn0k9Fh

2011-10-19 05:33:33
ROCA #COCOAボランティアデバッグ @rocaz

IMEIは契約時に確実にキャリアに把握される。C/Pが自由に入手できるとなると、キャリアは契約情報に加えてC/Pからより詳細な属性情報も取得できるしC/Pにしてもより確実な個人情報と結べることにもなる。更に端末に依存し一切変化しないので究極のスーパーCookieとなる

2011-10-19 05:38:50
ROCA #COCOAボランティアデバッグ @rocaz

IMEIは端末に紐付くので例えばこれをDRMの根拠にすると、ライセンスの端末間移動や契約時変更は不能になる。更には中古端末の場合へたな認証に使って以前の持ち主情報漏洩は当然にして起こるだろうね。と考えると果たしてIMEIを何に使わせたいのか ドコモのエンジニアは馬鹿揃いか

2011-10-19 05:42:47
gen_macosx @gen_macosx

ほんとだ。電話番号から入れると多桁の16進?が。 : 多くの機種では、端末固体番号であるIMEIを、待受画面で「*#06#」と入力することで表示させることができる --- ケータイ用語の基礎知識「IMEI とは」http://t.co/Y7vlgHiP

2011-10-19 06:44:27
残りを読む(1051)

コメント

鈴木友紀 @0xbadfca11 2011年10月19日
MACアドレスと同じと言ってる奴のデバイスは全世界のどこからでもMACアドレスが取れる不思議なハードウェアでも使っているんだろう
0
豊月 @yutuki_r 2011年10月19日
すげー細かい事ですが。 ×DoCoMo ○docomo
0
椎路ちひろ @ChihiroShiiji 2011年10月19日
どうも。直しました。昔、DoCoMoってロゴをよく見た気がしたのですが、今は全部小文字にしてるのですね。
0
Tsuyoshi CHO @tsuyoshi_cho 2011年10月19日
docomoな人になったのですが、使ってないのでセーフ?
0
sesamechang @sesamecake 2011年10月19日
ヘッダってすごいですね。偽装し放題?
0
ざ_な_く&890P@VOCALOID&VTuber @z_n_c_890_P 2011年10月20日
つまり、スマホ用サイトはトップに1秒ぐらいの無音wavをおいておけばIMEIを取得できる可能性があると?!勘違いがあればすいません。
0