iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ

Hiromitsu Takagi @HiromitsuTakagi

もはや蛸壺とかケータイ脳という段階ではなく、端末IDを使って実装しないと（利便性が落ちるんじゃないかと）不安になるテクノストレス症候群の一形態か。端末ID依存症。

Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 せっかくの機会ですので、位置情報アプリの理想的機能設計について考えてみたのですが、利用者単位で記録しているからには削除機能は設けた方がよいと思います。乱数ID方式にするとアプリ消去時に削除不能になりますが、誰にも参照できない宙ぶらりん状態となるのですから…

Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 …のですから問題ないとも言えますが、一定期間利用がないデータをsweepするのが理想的かと思います。電波チェッカーの場合、報告データとして残す要求があると思われますが、それならば、sweep時にID連結を解除してバラバラのデータとして残すという方法でよい…

Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 …よいのではないかと思いました。また利用者操作による削除時には乱数IDの再発行をするのが理想的かと思います。こうした削除に関する挙動を、アプリの利用者向け説明文書に書いておくのが理想的と思います。そうした取組みによって位置情報アプリに対する社会全体の信頼…

Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 …社会全体の信頼が高まるはずです。そうした配慮がないと、運営者を全信頼するか否かの選択肢しかないため、位置情報登録アプリに対して拒否感を持ち続ける人々が一定割合生まれてしまうと思われます。

Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 もう1点付け加えますと、UDID方式では端末を他人に譲渡した際に被害が出る危険がありました。アプリの再インストールでも登録位置情報が継続するのですから、譲渡された人が電波チェッカーをインストールして起動すると前の利用者の位置情報が画面に現れてしまいます。

宮川 潤一 @miyakawa11

@HiromitsuTakagi なるほど！流石深いですね！確かに、毎年新端末のS-INが相次いでます、また、アンドロイドもそろそろ来そうな環境下の中、端末入れ替え視野は勉強になりました。反映致します。

宮川 潤一 @miyakawa11

@HiromitsuTakagi 高木先生のご助言の元、新電波チェッカーをリリース予定です。改良版ではUDIDの使用をやめ、アプリ初回起動時に推測不可能性と無衝突性が担保された乱数IDをサーバ側で生成して端末に記録させ、そのIDを用いて端末識別する方式に変更致しました。

Hiromitsu Takagi @HiromitsuTakagi

@miyakawa11 宮川様、UDID不使用へ移行とのご決断、敬服いたします。 secure.softbank.ne.jp についても、困難な事案と拝察しますが、引き続きお取り組みを宜しくお願いいたします。

宮川 潤一 @miyakawa11

@HiromitsuTakagi 心得て取り組みます。暦年の残存との闘いにて、今暫く時間の経緯はご勘弁下さい。必ず社内調整お約束致します。

KATAOKA Genichi @katax

@ogawalaw ありがとうございます。通常のストア配信と異なり、UDIDという情報をお送り頂く必要があるのですこしだけご面倒をおかけしますが、よろしくお願いします。後ほど詳しい情報をお送りします。

@caymansite

UDIDなんてAdHockでのアプリ配布につかわれててすでにほいほいと人に教えちゃってるって。

@tejima068

結果、脆弱性だった。 RT @tejima068 @rocaz さんと @miyakawa11 さんの、電波チェッカーについてのやりとり。 セキュリティに関することはtwitterで答えられないとのことだが、アプリ側にまずいこと（脆弱性か、顧客不同意のID取得）があるのだろう。

@orikosanba

@HiromitsuTakagi そもそもUDIDで個人を特定できるのですか？位置情報がわかって何か問題があるのでしょうか？誰かを特定できないし、、

Tiger @asobiya

うわ、そういう認識なのか… RT @miyakawa11 @HiromitsuTakagi 行った行為は、 自身のiPhoneのUDIDを知人のiPhoneにセットして行った？通常のIDとパスワードを知人に教えてログインできるかを試しているのと同じですね。

Tiger @asobiya

adhoc配布のときとかにUDIDを送る必要があるわけで、つまりは、他者に知らせる場合があることが前提のものだということを理解してないのか…orz

葉山逗子鎌倉愚民♪ @Shinskys

またSBMは怪しいことをしようとしている？RT @HiromitsuTakagi: @miyakawa11 そのような状況において、携帯電話事業者が自らこのような欠陥方式のソフトウェアを提供していくことは、同様の方法で認証が実現できるものという誤った理解を…

@orikosanba

そう思うな。RT @miyakawa11 @HiromitsuTakagi 今後の検討と致します。但し皆様が誤解なさると不安になるので最後に一言、UDIDは個人情報に紐つくものではありません。

小崎 資広 (KOSAKI Motohiro) @kosaki55tea

この発言は感情を吐露しているだけで論理的な説明０ですね RT @miyakawa11: @HiromitsuTakagi 今後の検討と致します。但し皆様が誤解なさると不安になるので最後に一言、UDIDは個人情報に紐つくものではありません。

Suguru ARAKAWA @ashigeru

変更不能なマスタパスワードを垂れ流しているようなものか RT @miyakawa11: @HiromitsuTakagi 行った行為は、 自身のiPhoneのUDIDを知人のiPhoneにセットして行った？通常のIDとパスワードを知人に教えてログインできるかを試しているのと同じ…

@kumoriharu

どうしてですか？わかりません。 RT @miyakawa11: @HiromitsuTakagi 今後の検討と致します。但し皆様が誤解なさると不安になるので最後に一言、UDIDは個人情報に紐つくものではありません。

やぎの @issinta

ソフトバンクのiPhoneApp「電波チェッカー」がUDIDを使っていて、高木先生 @HiromitsuTakagi に欠陥を指摘される流れの様子。

いつみゆう@埼玉 @cubedl

UDIDとID/パスワードを同一視しないでくださいよ…問題理解できてるのかしら

@tejima068

@miyakawa11 なんか今、電波チェッカーでは「UDID」を「ID及びPass」として利用していた 、と CTOが暴露したところ。#SBareakaizen

水無月ばけら @bakera

[メモ] UDIDはパスワードと同じという主張? つまりUDIDは秘密情報であって、他のサイトに同一のUDIDが送られるようなことはないということでしょうか? https://twitter.com/miyakawa11/status/15934378849