Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題があるとのことです
    このエントリをはてなブックマークに登録

以前、ドコモのiモードブラウザ2.0のJavaScript機能とDNSリバインディングとを組み合わせて、かんたんログイン認証で成りすましを行うという脆弱性を発表したHASHコンサルティング株式会社ですが、今回またソフトバンクの一部端末でも同様の問題が起きるという情報を公開したようです。

 

→ HASHコンサルティング株式会社 Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 [hash-c.co.jp]

 

影響がある機種は2006年冬モデル以降となっているのですが、その多くはサーバやアプリでHostフィールドをチェックすることで対策が可能です。

これらの端末の場合は、ドコモのiモードブラウザ2.0と同じ脆弱性ですので、既に多くの方が対応済みかと思います。

参考:
→ ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 [ke-tai.org]

 

しかしながら、「2008年春モデル以降のシャープ製端末の大半」および「820N」「821N」「830CA」「940SC」(※現在のところ判明している機種であることに注意)に関しては、現状アプリ側での対策ができないようです。
(setRequestHeaderメソッドでHostフィールドを上書き可能なため)

 

取り急ぎアプリ側で取れる苦しい対応としては、ユーザエージェントで上記端末を判定して、非対応機種として弾くことくらいかなと思ったのですが、シャープ端末はシェアが大きいですし難しいでしょう。
またこれらの機種のブラウザのsetRequestHeaderメソッドでUserAgentが上書きできるかどうかが気になるところです。(もしこれができるなら、端末判定も信用できません)

もちろん、即日対応可能な内容ではないでしょうが、かんたんログインから他の認証方法に移るのが確実です。

 

上記のサイトでは、

・端末シリアル番号またはユーザIDなど端末固有IDをかんたんログインおよびセッション管理に使用しない
・かんたんログインを利用するユーザに「Ajax規制」を「許可しない」に設定するか、あるいは「スクリプト設定」を「off」にしないと、なりすましの危険性があると注意喚起する

を解決策・回避策として挙げています。

 

発見者の徳丸さんはいつもケータイ関係で重要な脆弱性を発表しておりスゴイですね。

 

関連:


 

最近の記事







5 Responses to “Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題があるとのことです”

  1. こんばんは。徳丸です。リリースを取り上げていただいてありがとうございます。

    > またこれらの機種のブラウザのsetRequestHeaderメソッドでUserAgentが上書きできるかどうかが気になるところです

    取り急ぎこの件ですが、End-to-EndのSSLの場合のみ可能です。SSLではかんたんログインは使えないと思っております。本内容は、WAS Forumで発表した内容でして、その際の講演資料を以下のURLにて公開しています。User-Agentの書き換え問題についても言及しています。
    http://www.hash-c.co.jp/archive/wasf2010.html

  2. […] Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題があるとのことです | ke-tai.org […]

  3. […] Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題があるとのことです | ke-tai.org (tags: security mobile) […]

  4. 徳丸さん

    コメントありがとうございます。
    なるほどなるほど、このスライドは凄くよくまとまっておりためになりますね。
    また紹介させてください。よろしくお願いします。

  5. ご指摘が実を結んだようです
    http://mb.softbank.jp/mb/information/details/100527.html

コメントを書く