編集可能

iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ

先にこちらからご参照下さい iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ」 http://bit.ly/boT5PM 「電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件」 http://bit.ly/cP4jLz 続きを読む
64
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 実際にUDIDがあればその人の登録位置情報を地図上で閲覧できてしまうことを確認しました。知人のiPhoneに私のUDIDをセットして電波チェッカーを起動したところ、私の自宅等の位置が現れました。位置情報漏洩の欠陥ですのでIPA脆弱性届出窓口に届け出ました。

2010-06-11 21:08:18
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 再現手順はここには書きませんが、JPCERT/CC経由でそちらに連絡が行くと思います。迅速なハンドリングが可能なように、同じ情報を SBCSIRT http://www.nca.gr.jp/member/sbcsirt.html にも連絡します。

2010-06-11 21:11:27
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 アプリの修正方法についてですが、最初に申し上げたように、アプリ初回起動時に乱数で十分に長い専用のIDを生成してそれを記憶し、次回以降そのIDを送信して使用する設計にするのが正しいです。再インストールで消えることがあってもこの用途のアプリなら十分なはずです。

2010-06-11 21:16:32
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 原理的に不可能なことを実現しようとなさったことをご理解ください。伝統的な日本式ケータイで「ユーザID」による認証が行われてきたのは、それがゲートウェイ付与型のIDだからであって、UDIDのような端末付与型の公開IDで同様のことをしようとしても不可能です。

2010-06-11 21:21:37
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 もちろん、iPhoneのMACアドレスを使うなどということはなさらないでください。シリアルナンバーや、IMEI番号、ICCIDについても使用しようなどとお考えにならないでください。海外でもこれらを使用したことによるトラブルが起き始めているようです。

2010-06-11 21:26:18
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 日本では一昨年のiモードID送信開始以降ケータイIDによるWeb実装が急速に広がりましたが、そうしたやり方に染まってしまった技術者らが、スマートフォンでも同じようにできるとの思い込みから、今回と同様の欠陥アプリを作ってしまう事例がポツポツと出始めています。

2010-06-11 21:34:12
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 そのような状況において、携帯電話事業者が自らこのような欠陥方式のソフトウェアを提供していくことは、同様の方法で認証が実現できるものという誤った理解を、全国の一般の事業者らにまで広げてしまう危険があり、社会的に由々しき事態であると考えております。

2010-06-11 21:45:38
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 本来ならば、携帯電話事業者は、自社の製品ないしサービスを用いた認証の実現に関して、安全な技術方式の要件を取りまとめて、一般事業者向けに提供し、解説していく立場にあるはずと考えます。今回の件を契機に、御社が今後そうした取組をなさることに期待します。

2010-06-11 21:50:47
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 今回のことで、iPhoneにも日本式ケータイID(ゲートウェイ付与型契約者ID)を導入しようなどと、けっしてお考えにならないよう切に願います。そのような方式は海外では必ず拒絶されます。日本だけ独自の方式を広めていくことは後々に必ず首を絞めることになります。

2010-06-11 22:08:22
宮川 潤一 @miyakawa11

@HiromitsuTakagi お合いしましょう、メールでやり取りしましょうとお誘い致しましたが、Twitterが余程お気に入りのようですね。

2010-06-11 23:57:15
宮川 潤一 @miyakawa11

@HiromitsuTakagi 行った行為は、 自身のiPhoneのUDIDを知人のiPhoneにセットして行った?通常のIDとパスワードを知人に教えてログインできるかを試しているのと同じですね。

2010-06-12 00:01:32
宮川 潤一 @miyakawa11

@HiromitsuTakagi 色々ご助言有難うございます。今後の参考に致します。

2010-06-12 00:05:51
宮川 潤一 @miyakawa11

@HiromitsuTakagi 今後の検討と致します。但し皆様が誤解なさると不安になるので最後に一言、UDIDは個人情報に紐つくものではありません。

2010-06-12 00:11:35
宮川 潤一 @miyakawa11

@HiromitsuTakagi 別の端末のUDIDを組み込むこと、皆さん簡単そうだと誤解されちゃってます。OSレベルのクラックを行ったのですかね?Takagiさんのようなレベルの方なら可能?

2010-06-12 01:03:09
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 既存のソフトウエアだけで可能でした。具体的な手順は、修正されていない現時点では、書きません。御社グループのCSIRTにご相談なさることをお勧めします。

2010-06-12 01:16:00
宮川 潤一 @miyakawa11

@HiromitsuTakagi それでは一つ相談。圏外登録の場所を改善されたと表示して見せてあげようと思って認識をしていますが、これは一方通行に変更すべきですかね?そうすれば何も識別する必要無いし。

2010-06-12 01:40:34
宮川 潤一 @miyakawa11

機能追加で欲張ったかな?圏外登録のみに変更しましょう。 「圏外登録済☞改善☞表示」は明日中に削除、改善状況のフィードバック方法は再考し、HPアップのみに。お客様が少しでも不安と感じられるのは反省。

2010-06-12 02:22:38
宮川 潤一 @miyakawa11

暖かなお言葉有難うございます。方々のご専門家に鍛えられるのも、道場と思えば明日また楽しです。日々精進。 RT @orikosanba: @miyakawa11 世の中には色んな考えの方がいますね。。やり取り見ていて心が寂しくなりますね。ユーザーの事を考えてる姿は応援します!

2010-06-12 09:27:15
Hiromitsu Takagi @HiromitsuTakagi

最初に申し上げた「アプリ初回起動時に乱数で十分に長い専用のIDを生成して、それを記憶し、次回以降そのIDを送信して使用」する方式を用いた設計であれば、その機能も実現できます。 QT @miyakawa11 …圏外登録の場所を改善されたと表示して見せてあげようと思って…

2010-06-12 09:55:43
宮川 潤一 @miyakawa11

@HiromitsuTakagi 検討してみます。因みに、朝8時に戻しの仕様は削除完了しました。根本改造はUPデートにて対応します。

2010-06-12 10:02:52
Hiromitsu Takagi @HiromitsuTakagi

電波チェッカーで既登録位置情報の閲覧ができなくなったことを確認しました。必要な措置の迅速なご対応に敬意を表します。既存のUDIDで登録された位置情報の閲覧ができなくなるのは不可避でやむを得ない措置と思います。QT @miyakawa11 …朝8時に戻しの仕様は削除完了しました。…

2010-06-12 10:25:43
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 なお、乱数で専用IDを生成する際には、暗号論的擬似乱数生成器(cryptographically secure PRNG)を使用する必要があるのでご注意ください。推測不可能性と無衝突性が求められます。メルセンヌツイスター等は使えません。

2010-06-12 11:14:46
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 乱数生成は端末側アプリで行ってもよいのですが、利用できる擬似乱数の暗号論的安全性に不安がある場合には、サーバ側で生成して端末の初回接続時に与える方法でもよいでしょう。無衝突性は所詮は確率上の問題ですが、不安ならば無重複確認処理を入れることもできるでしょう。

2010-06-12 11:18:33
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 付け加えますと、最初に「乱数で専用のIDを」の代替案を申し上げたとき「誤削除等で再インストールした際に…」とのことでしたが、逆に、専用ID記憶方式なら、iTunesのバックアップ機能によって、端末の買い替え時にそのままデータ移行できる利点があるはずです。

2010-06-13 00:21:07
Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 (続き)むしろ、端末を買い替えると継続利用できなくなるというUDID(端末ID)使用方式の方が、ユーザエクスペリエンス的によろしくないいように思うのですが、日本のケータイ界は、そうした不幸なユーザーエクスペリエンスに対して不感症になっているのでしょうか。

2010-06-13 00:35:44
残りを読む(71)

コメント

ǝunsʇo ıɯnɟɐsɐɯ @otsune 2010年6月12日
結局、NDAを結ばないとならないほど商売の種になる画期的なセキュリティシステムは無かったのか!
0
mamasan12_cm @mamasan12_cm 2010年6月12日
1.性癖占いや恋愛占い等のアプリ(UDID送信あり)&サーバをつくる。2.無料で公開する。3.UDID収集する。4.それを用いて位置情報チェック。かな? 性別等のアプリ入力情報を「悪意ある開発者に位置情報と紐づけられて」参照されることを、気味悪いと思うかどうか。
0
rndrndrnd @rndrndrnd 2010年6月12日
宮川さんに「認識が根本的に間違ってますよ」と指摘できる部下はいないのだろうか……
0
だんじだずむ@消費税増税反対 @danzidasm 2010年6月12日
snmp community stringをホイホイ教えて「なんで?どうしてこれが秘密なの?アクセスできなきゃ問題ないじゃんか」とか逆ギレしてる新人君みたいなもん。こういう種類のHEは、指摘できる能力や立場にあった人が何もしなかったことに99%の原因がある。まぁ、被害にあいそうな人は、運が悪かったと思って諦めれ。
0
ぼんぼ (開封前によく振ってください) @tm_bonvo 2010年6月12日
「技術的な質問について、CTOが適当なことを自信たっぷりに回答したらやっぱり間違いでした」という、ベタな結果に。つまらん。でもまあ、対応が素早いのは流石SBM。
0
空弁者 @scavenger0519 2010年6月12日
> よっぽどツイッターがお好きなようですね < なんと言う失礼な言い方!なんと言う皮肉な言い方! 
0
空弁者 @scavenger0519 2010年6月12日
高木さんは会話の内容を世間に知らせたい。宮川さんはSBにとってまずい事があるかも知れぬと密室で会話したい。そういうことね。
0
Cophei @Cophei 2010年6月12日
RT @otsune: iPhone UDIDを個人識別につかっちまう「ケータイ脳の過ち」をドワンゴとかDeNAがやるんでもお祭りレベルなんだけど。キャリア自身であるソフトバンクがやっちまって、その上でCTOが深刻さを理解してなかったというダブル役満クラスの失点。これは失敗学に入れるべき事例。
0
TANAKA Takakiyo @takakiyo 2010年6月12日
JBなしでのUDIDの偽装方法:1.アプリの通信先のホスト名を調べる/2.自前のDNSをたてたWifi環境を用意して,そのホスト名をローカルのProxyサーバーに向ける/3.Proxyサーバーに細工をしてUDIDを書き換えた上で正規ホストに転送する。
0
ティナ @thinarirura 2010年6月12日
仕事がらUDIDの取り扱いは気を付けるために勉強勉強。
0
ティナ @thinarirura 2010年6月12日
仕事がらUDIDの取り扱いは気を付けるために勉強勉強。
0
Tietew @Tietew 2010年6月15日
.@takakiyo わざわざDNSを立てずとも、透過プロクシ(パケットのリダイレクション)という仕組みでHTTP通信をすべてプロクシ経由にさせることができます。
0
🍢 @kantodaki 2011年2月11日
UDIDは本来個人情報と紐付けるべきではないにも関わらず、SBは位置情報という非常に重要な個人情報と結びつけて、それを公開してしまった。そのSBの取締役が「UDIDは個人情報と紐付けるものではありません」と主張している。いやいやお前が結びつけたんだよ、という突込みどころが面白い
0