2012年2月6日

スマートフォンアプリのSSLとか

14
徳丸 浩 @ockeghem

日記書いた / “徳丸浩の日記: スマートフォンアプリケーションでSSLを使わないのは脆弱性か” http://t.co/OUFjsoSY

2012-02-06 09:11:06

zaki50 @zaki50

@youten_redo @typex20 いや、それってアプリがちゃんと証明書検証して無くてMITMを許す脆弱な実装ってだけだからそれはそもそもSSLしてる意味が無いような。アプリがSSLで使用するCAの証明書をユーザーが追加可能なんだっけ?

2012-02-06 10:21:53
ⓀⒾⒺⓉⒶ @typex20

@zaki50 AndroidのフレームワークのSSL通信の機能を使って標準Webブラウザと同様にSSL通信処理を実装した不適切なアプリのことを言っているのだと思います。徳丸さんはその点は誤解されているのかと。。

2012-02-06 10:22:00
ⓀⒾⒺⓉⒶ @typex20

@zaki50 @youten_redo ざきさんのご指摘が適切です。徳丸さんはWebブラウザでの話をされているので、アプリでの実装にはあまりお詳しくないのかもです。。(^_^;)

2012-02-06 10:22:59
ⓀⒾⒺⓉⒶ @typex20

@zaki50 Android4.0からroot CAの証明書を追加できるようになったみたいですね。iOSと違ってAndroidはhttp/httpsプロキシーを簡単にアプリに適用できないので、アプリのSSL通信処理に脆弱性がありかつ端末のrootedが必要ですね。(^_^)

2012-02-06 10:27:23
ⓀⒾⒺⓉⒶ @typex20

@zaki50 @youten_redo サーバが送り返してくる証明書は端末が信頼出来ない環境では正常に検証できないので、Googleのアプリのように証明書の正解値をアプリ内に安全に持っておく必要があります。

2012-02-06 10:28:15
ⓀⒾⒺⓉⒶ @typex20

@zaki50 @youten_redo そうそう。アプリの改ざんをTechBoosterさんのTipsで簡易チェックするだけでもかなり効果ありますよ。(^_^)v

2012-02-06 10:33:45
ⓀⒾⒺⓉⒶ @typex20

@zaki50 @youten_redo そうですね。ちなみに、アプリもサーバもユーザは信頼できないもの、性悪説で作らないと今の時代は難しいですね。攻撃する人は確実にいるので。。(^_^)

2012-02-06 10:37:54
ⓀⒾⒺⓉⒶ @typex20

@zaki50 @youten_redo 今回は中間者攻撃をあくまで通信路上で防ぐという観点ですから、アプリの実装の保護は別の機会ですね。(^_^)

2012-02-06 10:42:29
zaki50 @zaki50

.@youten_redo さんの「AndroidのSSLなんたらでのセキュリティの守備範囲」をお気に入りにしました。 http://t.co/rlHqG9da

2012-02-06 11:21:16
徳丸 浩 @ockeghem

誤解を招いたようですので、追記しました RT @zaki50: @typex20 http://t.co/MpZiQvFj… で、「SSLであれば通信内容を監査可能」と書かれていますが、Androidにそういう仕組があるんでしたっけ?

2012-02-06 11:37:15
徳丸 浩 @ockeghem

証明書のエラーさえ判定していれば、不適切でないと思いますが、どのような脅威を想定しているのですか? @typex20 @zaki50: AndroidのフレームワークのSSL通信の機能を使って標準Webブラウザと同様にSSL通信処理を実装した不適切なアプリのことを言っているのだと

2012-02-06 11:38:35
徳丸 浩 @ockeghem

端末が信頼できない環境(rootを取られた環境)まで安全性を担保できないので、無駄な努力ではないですか? RT @typex20: サーバが送り返してくる証明書は端末が信頼出来ない環境では正常に検証できないので…証明書の正解値をアプリ内 @zaki50 @youten_redo

2012-02-06 11:49:07
ⓀⒾⒺⓉⒶ @typex20

@ockeghem @zaki50 Androidだと説明が面倒なので。iOSでBurp Proxyなどを使うとアプリのSSL通信が覗けるアプリとそうでないアプリがあるのかを考えて見てください。

2012-02-06 11:49:19
徳丸 浩 @ockeghem

@typex20 @zaki50 そんなことは分かっているのであって、ルート証明を入れられたら通信見えるのは脆弱性ではないし、監査可能とするメリットもあるという主張です

2012-02-06 11:50:49
ⓀⒾⒺⓉⒶ @typex20

@ockeghem @zaki50 @youten_redo いいえそんなことはありません。エムュレータなどで覗いている人もいるのです。

2012-02-06 11:51:22
徳丸 浩 @ockeghem

@typex20 @zaki50 @youten_redo 覗かれても構わないでしょうし、覗けるから、某社がプライバシー情報流しているとあなたも検証できるのでしょう

2012-02-06 11:53:01
zaki50 @zaki50

@typex20 @ockeghem 誰に対して何を守るかが噛み合ってないので一度整理したほうがいいかなと思います。SSLの話では徳丸さんの言うとおりで、端末上での不正から守れないしユーザーに対して監査の手段を提供するかどうかは要件次第であって一概に脆弱性とは言えないかと

2012-02-06 11:54:32
徳丸 浩 @ockeghem

@zaki50 @typex20 適切な交通整理ありがとうございます

2012-02-06 11:56:54
ⓀⒾⒺⓉⒶ @typex20

@ockeghem @zaki50 この件での私の立場はアプリ開発者、サービス提供者です。

2012-02-06 12:21:10
ⓀⒾⒺⓉⒶ @typex20

通常の利用規約では通信内容、アプリの解析を禁じていることが多いから、もし簡単に覗かれてしまうと困るようなサービス要件の場合、アプリ開発者、サービス提供者からすれば、それは脆弱性。

2012-02-06 12:33:09
ⓀⒾⒺⓉⒶ @typex20

@zaki50 @ockeghem あと、私はその見解には同意しません。事実とは限りませんので。

2012-02-06 12:58:16
残りを読む(46)

コメント

d6rkaiz @d6rkaiz 2012年2月7日
おそらく漏れていたと思われる keikuma さんの発言を追加しました。
0
d6rkaiz @d6rkaiz 2012年2月7日
お二人の話のすれ違いについて、よくまとまってたツイートがあったのでまとめました。 http://togetter.com/li/253658
0
d6rkaiz @d6rkaiz 2012年2月7日
さらに続いてましたのでまとめました。 http://togetter.com/li/253990
0
d6rkaiz @d6rkaiz 2012年2月7日
↑のまとめは削除依頼がありました。
0
yasushi @yasushid 2012年2月7日
こちらには無いようです。徳丸さんの締めと削除理由について追加しました。
0
d6rkaiz @d6rkaiz 2012年2月8日
削除理由のところで、抜けていたものの追加と、順序がおかしかったものを修正しました。
0
徳丸 浩 @ockeghem 2012年2月8日
私自身のツイートを追加しました
0
d6rkaiz @d6rkaiz 2012年2月8日
仕切り線がTOPに移動してしまっていたので戻しました。
0