楽天銀行アプリがUDIDを使用していた件 - UDID使用の是非とSSL利用目的の変遷
-
- いいね!1
ROCA
@rocaz
ブログ書きました: 続: 楽天銀行アプリのセキュリティについて – プロトコルを解析してみた http://goo.gl/fb/TPqog
2011-01-23 02:53:37
Hiromitsu Takagi
@HiromitsuTakagi
.@rocaz ちょそれ脆弱性!! > 「当初SSLだからと諦めかけていたのだが、パケットキャプチャで仕様を明白にすることにした…恐らく専門家であれば常識的な方法だろう。所謂MIM手法である」< それ、楽天銀行アプリのSSL実装がサーバ証明書の検証を怠ってるってこと。私も…
2011-01-23 11:43:59
Hiromitsu Takagi
@HiromitsuTakagi
.@rocaz …私も念のため駄目元でそれやってみるかなと思いましたが、まさか今どき本当にそうとは。5年前には、PCアプリのSSL実装でそういうのをいくつか見かけました(例えば古いバージョンのEdy Viewer等)が、iOSアプリも怪しいものが多い可能性が大なのかな。
2011-01-23 11:50:31
Hiromitsu Takagi
@HiromitsuTakagi
iOSアプリでSSL利用はどういうAPIになってるんだろ。サーバ証明書検証はフレームワーク側で強制的にやってるだろうと思ってたが、違うのか。アプリ側で何か呼び出さないといけないのかな。SSLを直接使わずにHTTPアクセスのAPIを使えば、https:// のときはフレームワーク…
2011-01-23 11:53:19
Hiromitsu Takagi
@HiromitsuTakagi
…フレームワークが強制的にサーバ証明書検証しそうだが、もしかして警告ダイアログが出る(不正な証明書の場合に)のか? 万が一、そのAPIで不正な証明書で警告ダイアログなしに繋がってしまうなら、iOSアプリの大半が全滅という大惨事なわけだが。
2011-01-23 11:56:37
Hiromitsu Takagi
@HiromitsuTakagi
.@rocaz MITMするときに、アプリは警告を出しましたか?(出したなら、まあ、脆弱性とまでは言えない。良くはないがiOS側が悪い。)ちなみに、初期のNAVITIMEアプリは、この方法で解析できませんでした。警告ダイアログなしにSSLが繋がりませんでした。(これが正しい。)
2011-01-23 12:09:31
Hiromitsu Takagi
@HiromitsuTakagi
楽天CERTは「リリースに際しては第三者機関による安全性の検査も実施している」と回答したそうだ http://t.co/URuwUZM が、それ聞いて一発で胡散臭いと思った。そもそも「第三者機関」というのは一般的にはある程度公的な検査機関を印象づける。CC認証でも取ったのかと。
2011-01-23 12:17:15
Hiromitsu Takagi
@HiromitsuTakagi
去年くらいから情報セキュリティ事故起こした企業がリリースで「第三者機関に調査を依頼、報告を受けたので問題ない」などとぬかす事例が多発。どこの第三者機関だよ?と問い合わせてみると、単なる一民間セキュリティ企業の名前を胸を張って回答。アホかお前ら。優良誤認表示的欺瞞行為でしばかれろ。
2011-01-23 12:21:56
Hiromitsu Takagi
@HiromitsuTakagi
たとえば、ビックカメラの事件、「今般、第三者機関によるセキュリティ診断によりドットコムサイトの安全性が確認されましたので…再開させていただく予定」と発表していたので、電話して「第三者機関ってどこ?」と尋ねると、「セコムトラストシステムズ株式会社でございます」と胸を張って回答。…
2011-01-23 12:29:54
Hiromitsu Takagi
@HiromitsuTakagi
…「機関というのはどういう意味ですかね?」「あ、機関というのは組織ですね、私ども以外の第三者」「機関というのは公的なところを指す…」「そそ、そうですね言葉としてはちょっとあの、適正に欠いておりました、もうしわけございません」「これ問題あるんじゃないですか?」「あーそうですね」。
2011-01-23 12:33:55
Hiromitsu Takagi
@HiromitsuTakagi
それはぜひとも。勉強させて頂きます。 RT “@eyasuyuki: Androidセキュリティ部で「安全なAndroidアプリ開発の鉄則(仮)」をまとめているのですが、もう少し実例を書き足したら高木さん @HiromitsuTakagi にも見ていただこうと思っています。”
2011-01-23 12:43:45
ROCA
@rocaz
@HiromitsuTakagi 最初ミスってた可能性があり出てたかもですが、最終的には出なくなりました。どうもCNしか見てない気がします(付属してくるFakeCertではエラーだったので)
2011-01-23 12:49:53
Hiromitsu Takagi
@HiromitsuTakagi
.@rocaz あ、そうなの。iOSでもルート証明書を入れられるのですね。知りませんでした。以下は取り消します。「ちょそれ脆弱性!! …それ、楽天銀行アプリのSSL実装がサーバ証明書の検証を怠ってるってこと」
2011-01-23 12:55:02
ROCA
@rocaz
@HiromitsuTakagi 僕も存在は知っていたのですが使い方に気付いていませんでした。iPhone構成ユーティリティというソフトで、企業向けにiPhoneを配布する際に企業内CAcertをあらかじめインストールするのに使われるようですね
2011-01-23 13:01:11
ROCA
@rocaz
@HiromitsuTakagi 僕もちょっとした疑問があったのですが、今回のように仮にトラストチェーンが正しくても、一般的にはCNチェックぐらいでいいものでしょうか。ハッシュ値チェックまですれば完璧でしょうが、リニューアルの時に困ったりしますけどね
2011-01-23 13:03:05
ROCA
@rocaz
いいことだー。返す刀でiOSにも影響が伝わるといいなぁRT @HiromitsuTakagi: それはぜひとも。勉強させて頂きます。 RT @eyasuyuki: Androidセキュリティ部で「安全なAndroidアプリ開発の鉄則(仮)」をまとめているのですが、もう少し実例を…
2011-01-23 13:09:40
Hiromitsu Takagi
@HiromitsuTakagi
@rocaz おっとそれでできるのでしたか。何かで使ったことがあったのに、rootも入れられるとは気づかず、うかつでした。NAVITIMEのときのできないという思い込みが…。これで夢が広がりんぐですな。電波チェッカーのときもこの方法でやればよかった。
2011-01-23 13:30:31
Hiromitsu Takagi
@HiromitsuTakagi
@rocaz トラストチェインとCNと有効期限の3点です。接続先がアプリ開発元のみである場合は、それ専用のrootを使う方法もあり、その場合はCNの確認は不要です。
2011-01-23 13:33:22
ROCA
@rocaz
@HiromitsuTakagi そうなんです。僕もアプリ系は難しいと思い込んでいたので。今度僕みたいな非専門家向けに方法を書き起こそうと思いますが、別に問題無いですよね。MiM含めて既知の手法の組み合わせですし
2011-01-23 13:38:05
Hiromitsu Takagi
@HiromitsuTakagi
@rocaz 問題ありません。技術発展目的、セキュリティ目的のリバースエンジニアリングは、現行著作権法に抵触し得る方法による場合でさえ、日本国においては、明文化こそ未だないものの、正当な行為との見方が濃厚であるところ、SSLのMITMによる通信内容閲覧は著作権法にも関係しません。
2011-01-23 13:54:11
ROCA
@rocaz
@HiromitsuTakagi ありがとうございました。実はプロトコル内容を記載する際に一番著作権(知的財産)侵害と責められやすいかなと思い、抜粋&引用タグで記載した経緯があったりします
2011-01-23 14:03:23
Hiromitsu Takagi
@HiromitsuTakagi
@rocaz 著作物(思想又は感情を創作的に表現したものであつて…に属するもの)、プログラム、データベース等でなければ気にする必要はありません。また、著作権法10条3項はプログラムの著作物について、「この法律による保護は、…プログラム言語、規約及び解法に及ばない」としています。…
2011-01-23 14:19:23