iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ

(2010/06/12) 結局UDID偽装が可能であったことが発覚しました iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ」 http://bit.ly/bp7MaT ソフトバンクの公式iPhoneアプリ「電波チェッカー」がiPhoneのUDID(固有端末番号)を送信している理由についての問い合わせをまとめてみました 続きを読む
63
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 電波チェッカーについてお尋ねします。UDIDを送信するとのことですが、UDIDは個人識別番号ですが、何の目的で使用しているのでしょうか。

2010-06-03 21:08:15
宮川 潤一 @miyakawa11

@HiromitsuTakagi UDIDを取得するのは電波チェッカーで登録されたポイントをiPhoneで表示する為です。登録されたポイントはサーバーで保持され、エリア改善情報として反映致します。 #SBareakaizen

2010-06-03 23:23:51
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 しかし、その目的であれば、アプリ初回起動時に乱数で十分に長い専用のIDを生成して、それを記憶し、次回以降そのIDを送信して使用すればよいのではないでしょうか。

2010-06-03 23:51:18
宮川 潤一 @miyakawa11

@HiromitsuTakagi 確かにご指摘の方法もありますが、誤削除、リフレッシュ、トラブル等で再インストールが必要な事態が発生した時に過去の登録情報をそのまま利用出来ることを考慮してUDIDが有効と考え、この仕様にしました。 #SBareakaizen

2010-06-04 00:54:41
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 再インストールを越えて同一人物による記録であることを識別できる必要があるのでしょうか。一方で、Appleはストアへのアプリ登録において、UDIDを使用する場合には利用者の個別同意確認をするよう求めているとのことですが、その趣旨をどのようにお考えでしょうか。

2010-06-04 01:06:21
宮川 潤一 @miyakawa11

@HiromitsuTakagi 登録して頂いた情報を無駄にしない為、再ポイント登録がないよう配慮しました。インストール時の注意事項にUDID取得を記載しております。ご質問のAppleでの正式審査も当然通しております。個人情報に紐付く認証としての使用ではありません。

2010-06-04 08:24:56
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 つまり、利用者が(再インストールしたとしても)過去の自分の登録情報を見られるようにしているということでしょうか。

2010-06-04 09:21:41
宮川 潤一 @miyakawa11

@HiromitsuTakagi はい、その通りです。再インストールしても過去の登録情報を見れるようにしております。

2010-06-04 11:39:52
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 そうしますと、任意のUDIDをサーバに送信するとサーバは登録情報を応答するということかと思いますが、それはつまり、他人のUDIDを用いてその人の位置情報履歴を閲覧できてしまうということではないでしょうか。重大なセキュリティ欠陥だと思います。

2010-06-04 11:44:45
宮川 潤一 @miyakawa11

@HiromitsuTakagi 当然ながら単純にUDIDだけで情報を抽出している訳ではありません。詳細はセキュリティに関わることなのでこれ以上申し上げられないこと、話を切るようで心苦しいですが、何卒ご理解下さい。

2010-06-04 15:53:49
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 UDIDだけではないと言っても、鍵付ハッシュで変換することくらいしかできず、その鍵はアプリ固有とせざるを得ないものです。再インストールで識別が継続するのですから。つまり、その鍵は誰にでも得られる値であって、他人のUDIDで位置情報を得られるということです。

2010-06-04 18:14:28
ROCA @rocaz

プライバシーに関する配慮としてはいかがですか。御社は結果的に利用者の位置情報と契約者情報を結びつけて保持できるわけですが、それはそうした利便性よりも低い位置付けなのでしょうか RT @miyakawa11: @HiromitsuTakagi 登録して頂いた情報を無駄にしない為..

2010-06-04 11:49:28
JTCY @jtcy_obzaiya

.@miyakawa11 詳細に話すことにセキュリティ上の問題があるような仕組みは、消費者としては使いたくないなぁ……

2010-06-04 18:05:49
ROCA @rocaz

「公開できないようなセキュリティ設計は脆弱」というのは業界の常識なのですが RT @HiromitsuTakagi: RT @miyakawa11: ..単純にUDIDだけで情報を抽出している訳ではありません..セキュリティに関わることなのでこれ以上申し上げられない..

2010-06-04 18:06:14
水野拓宏/アルファコード @mizunon

これはフラグ立ちましたって感じだなぁw 今のうちに落としとくか。 RT: @miyakawa11: @HiromitsuTakagi 当然ながら単純にUDIDだけで情報を抽出している訳ではありません。詳細はセキュリティに関わることなのでこれ以上申し上げられないこと、話を切るようで

2010-06-04 18:10:16
宮川 潤一 @miyakawa11

@makotokaga 最悪でした、申し訳ないです。別件で手一杯でしたので話切ってしまいました。確かに横着ですね、すみません。但し、脆弱性対処については自信あり。その方法は企業情報なのでここに記載させるのは勘弁下さい。ご安心してご利用を。

2010-06-07 17:49:16
宮川 潤一 @miyakawa11

@HiromitsuTakagi GPSで取得した位置情報の表示は緯度経度座標等の他人が位置特定できる情報はありません。サーバからの返却データは地図を含まない別レイヤおよび別データとして加工しており、セキュリティ及びパフォーマンスの向上の観点から独自技術で対応しております。

2010-06-07 19:01:49
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 技術的に言っておっしゃることがよくわからないのですが、サーバが返す値がどんな加工形式の位置情報データであれ、「電波チェッカー」自身がそれを地図上に位置表示できるのですから、誰でも他人のUDIDから位置情報を得られるのは明らかです。

2010-06-07 20:02:59
宮川 潤一 @miyakawa11

@makotokaga うーん、ご理解いただけませんでしょうかね?

2010-06-08 01:46:28
宮川 潤一 @miyakawa11

@HiromitsuTakagi すみません、きちんと説明する責務はあるかとは思いますが、弊社も企業故、開発の中身までは本twitterでのやり取りでは公開しかねます。弊社来社戴ければ、NDAサインは戴きますが、中身の説明は真意致します。いかがでしょうか?

2010-06-08 01:56:19
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 原理的に不可能なこと、それをやっているとおっしゃっているように聞こえるのすが、もしかしてUDIDの他に、iPhoneのMACアドレスないしシリアルナンバーを使用ているのでしょうか? 「電波チェッカー」の説明にはUDIDに関する記述しかないのですが。

2010-06-08 18:27:09
宮川 潤一 @miyakawa11

@HiromitsuTakagi MACアドレス、シリアル番号は使用しておりません。GISに関わる情報です。twitter上での本回答は生理的に受入できませんので、下記のサポートメールにて御容赦戴けますか?denpacheckersupport@mb.softbank.co.jp

2010-06-08 19:16:13
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 電波チェッカーについてお尋ねします。計測で記録した位置情報を削除したいのですが、1点ずつ選択し削除するボタンはあるものの、全部を削除する機能は用意されてないのでしょうか。UDIDで紐づいた位置情報が永久に残るのは避けたいのです。1個ずつ消すのはつらいです。

2010-06-10 18:02:58
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 昨日お尋ねした「電波チェッカー」の削除機能の件の続きですが、屋外計測については、もしかして、まったく削除できないのでしょうか。

2010-06-11 17:19:58