-
- いいね!6
徳丸 浩
@ockeghem
日記書いた / “徳丸浩の日記: スマートフォンアプリケーションでSSLを使わないのは脆弱性か” http://t.co/OUFjsoSY
2012-02-06 09:11:06
zaki50
@zaki50
@youten_redo @typex20 いや、それってアプリがちゃんと証明書検証して無くてMITMを許す脆弱な実装ってだけだからそれはそもそもSSLしてる意味が無いような。アプリがSSLで使用するCAの証明書をユーザーが追加可能なんだっけ?
2012-02-06 10:21:53
にーまる。
@typex20
@zaki50 AndroidのフレームワークのSSL通信の機能を使って標準Webブラウザと同様にSSL通信処理を実装した不適切なアプリのことを言っているのだと思います。徳丸さんはその点は誤解されているのかと。。
2012-02-06 10:22:00
にーまる。
@typex20
@zaki50 @youten_redo ざきさんのご指摘が適切です。徳丸さんはWebブラウザでの話をされているので、アプリでの実装にはあまりお詳しくないのかもです。。(^_^;)
2012-02-06 10:22:59
にーまる。
@typex20
@zaki50 Android4.0からroot CAの証明書を追加できるようになったみたいですね。iOSと違ってAndroidはhttp/httpsプロキシーを簡単にアプリに適用できないので、アプリのSSL通信処理に脆弱性がありかつ端末のrootedが必要ですね。(^_^)
2012-02-06 10:27:23
にーまる。
@typex20
@zaki50 @youten_redo サーバが送り返してくる証明書は端末が信頼出来ない環境では正常に検証できないので、Googleのアプリのように証明書の正解値をアプリ内に安全に持っておく必要があります。
2012-02-06 10:28:15
にーまる。
@typex20
@zaki50 @youten_redo そうそう。アプリの改ざんをTechBoosterさんのTipsで簡易チェックするだけでもかなり効果ありますよ。(^_^)v
2012-02-06 10:33:45
にーまる。
@typex20
@zaki50 @youten_redo そうですね。ちなみに、アプリもサーバもユーザは信頼できないもの、性悪説で作らないと今の時代は難しいですね。攻撃する人は確実にいるので。。(^_^)
2012-02-06 10:37:54
にーまる。
@typex20
@zaki50 @youten_redo 今回は中間者攻撃をあくまで通信路上で防ぐという観点ですから、アプリの実装の保護は別の機会ですね。(^_^)
2012-02-06 10:42:29
zaki50
@zaki50
.@youten_redo さんの「AndroidのSSLなんたらでのセキュリティの守備範囲」をお気に入りにしました。 http://t.co/rlHqG9da
2012-02-06 11:21:16
徳丸 浩
@ockeghem
誤解を招いたようですので、追記しました RT @zaki50: @typex20 http://t.co/MpZiQvFj… で、「SSLであれば通信内容を監査可能」と書かれていますが、Androidにそういう仕組があるんでしたっけ?
2012-02-06 11:37:15
徳丸 浩
@ockeghem
証明書のエラーさえ判定していれば、不適切でないと思いますが、どのような脅威を想定しているのですか? @typex20 @zaki50: AndroidのフレームワークのSSL通信の機能を使って標準Webブラウザと同様にSSL通信処理を実装した不適切なアプリのことを言っているのだと
2012-02-06 11:38:35
徳丸 浩
@ockeghem
端末が信頼できない環境(rootを取られた環境)まで安全性を担保できないので、無駄な努力ではないですか? RT @typex20: サーバが送り返してくる証明書は端末が信頼出来ない環境では正常に検証できないので…証明書の正解値をアプリ内 @zaki50 @youten_redo
2012-02-06 11:49:07
にーまる。
@typex20
@ockeghem @zaki50 Androidだと説明が面倒なので。iOSでBurp Proxyなどを使うとアプリのSSL通信が覗けるアプリとそうでないアプリがあるのかを考えて見てください。
2012-02-06 11:49:19
徳丸 浩
@ockeghem
@typex20 @zaki50 そんなことは分かっているのであって、ルート証明を入れられたら通信見えるのは脆弱性ではないし、監査可能とするメリットもあるという主張です
2012-02-06 11:50:49
にーまる。
@typex20
@ockeghem @zaki50 @youten_redo いいえそんなことはありません。エムュレータなどで覗いている人もいるのです。
2012-02-06 11:51:22
徳丸 浩
@ockeghem
@typex20 @zaki50 @youten_redo 覗かれても構わないでしょうし、覗けるから、某社がプライバシー情報流しているとあなたも検証できるのでしょう
2012-02-06 11:53:01
zaki50
@zaki50
@typex20 @ockeghem 誰に対して何を守るかが噛み合ってないので一度整理したほうがいいかなと思います。SSLの話では徳丸さんの言うとおりで、端末上での不正から守れないしユーザーに対して監査の手段を提供するかどうかは要件次第であって一概に脆弱性とは言えないかと
2012-02-06 11:54:32
にーまる。
@typex20
通常の利用規約では通信内容、アプリの解析を禁じていることが多いから、もし簡単に覗かれてしまうと困るようなサービス要件の場合、アプリ開発者、サービス提供者からすれば、それは脆弱性。
2012-02-06 12:33:09