2010/5/31 月曜日 Posted in ニュース, 記事紹介・リンク | No Comments »
先日行われた「WASForum Conference 2010」の発表内容について、幾つかまとめ記事をがありましたのでご紹介させていただきます。 まず「WASForum Conference 2010」とは何かについてはこちらへ。 → WASForum Conference 2010 公式ページ [wasforum.jp] 水無月ばけら氏のブログに掲載された各セッションの内容はこちら。 かなり詳しくまとまっています。 → 水無月ばけらのえび日記 WASForum Conference 2010: OpenIDのモバイル対応 ~ 認証基盤連携フォーラムの取組み他から [bakera.jp] → 水無月ばけらのえび日記 WASForum Conference 2010: ケータイ2.0が開けてしまったパンドラの箱 [bakera.jp] → 水無月ばけらのえび日記 WASForum Conference 2010: どうするケータイ認証 [bakera.jp] こちらのブログにもまとめ記事がありました。 → Hideki SAKAMOTO の雑記 WASForum2010 [on-sky.net] 高木先生の発表内容はどのようなものか気になっていたのですが、これで大体内容がわかりますね。 先日にもご紹介させていただきましたが、徳丸氏の「ケータイ2.0が開けてしまったパンドラの箱」は、スライド資料がありますので、そちらも一緒に見ると良いと思います。 → HASHコンサルティング WAS Forum Conference 2010講演資料 ケータイ2.0が開けてしまったパンドラの箱 [hash-c.co.jp] こちらの発表はソフトバンクの公式サイトでアナウンスがあったり、技術資料にも注意書きが追加されているようです。 読売新聞など大手の新聞でも取り上げられており、かなり反響が大きいようですね。 → ソフトバンクモバイル ブラウザのスクリプト設定について [mb.softbank.jp] → YOMIURI ... Read more..2010/5/25 火曜日 Posted in SoftBank, ニュース, 記事紹介・リンク | No Comments »
昨日に続いて、Yahoo!ケータイのかんたんログインで成りすましを許してしまう問題についてです。 この問題を発表した徳丸さんからコメント欄に投稿をいただきまして、講演資料も公開しているとの情報をいただきました。 こちらの資料がわかりやすく、内容もかなり深く興味深いものでしたので、ぜひご紹介したいと思います。 → HASHコンサルティング WAS Forum Conference 2010講演資料 ケータイ2.0が開けてしまったパンドラの箱 [hash-c.co.jp] 大きな画面で読むには、アップ先のこちらのサイトから直接読むのが良いでしょう。 (フル画面表示もできます) → slideshare WAS Forum 2010カンファレンス:ケータイ2.0が開けてしまったパンドラの箱 [slideshare.net] 全60ページもありますが、内容もストーリーがありドラマティック(?)で、かなり読み応えのあるものとなっています。 昨日の記事に書いたsetRequestHeaderメソッドでUserAgentの書き換えについても資料内に答えがあり、End-to-EndのSSLの場合のみ可能で、それ以外の場合は不可能なようです。 SSL以外ではひとまず機種判定で防ぐという対策はできるようですね。 ソフトバンクの端末はかなりわけのわからない状況になっている中、よくここまでの情報を調べまとめあげたと思います。本当にお疲れ様でした。 ケータイWeb開発に関わる方であれば、必ず目を通しておいた方がよい資料だと思います。 関連: Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題があるとのことです ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 iモードブラウザ2.0の JavaScript機能とかんたん認証を利用した不正アクセスの方法について Read more..2010/5/24 月曜日 Posted in SoftBank, ニュース, 記事紹介・リンク | 5 Comments »
以前、ドコモのiモードブラウザ2.0のJavaScript機能とDNSリバインディングとを組み合わせて、かんたんログイン認証で成りすましを行うという脆弱性を発表したHASHコンサルティング株式会社ですが、今回またソフトバンクの一部端末でも同様の問題が起きるという情報を公開したようです。 → HASHコンサルティング株式会社 Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 [hash-c.co.jp] 影響がある機種は2006年冬モデル以降となっているのですが、その多くはサーバやアプリでHostフィールドをチェックすることで対策が可能です。 これらの端末の場合は、ドコモのiモードブラウザ2.0と同じ脆弱性ですので、既に多くの方が対応済みかと思います。 参考: → ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 [ke-tai.org] しかしながら、「2008年春モデル以降のシャープ製端末の大半」および「820N」「821N」「830CA」「940SC」(※現在のところ判明している機種であることに注意)に関しては、現状アプリ側での対策ができないようです。 (setRequestHeaderメソッドでHostフィールドを上書き可能なため) 取り急ぎアプリ側で取れる苦しい対応としては、ユーザエージェントで上記端末を判定して、非対応機種として弾くことくらいかなと思ったのですが、シャープ端末はシェアが大きいですし難しいでしょう。 またこれらの機種のブラウザのsetRequestHeaderメソッドでUserAgentが上書きできるかどうかが気になるところです。(もしこれができるなら、端末判定も信用できません) もちろん、即日対応可能な内容ではないでしょうが、かんたんログインから他の認証方法に移るのが確実です。 上記のサイトでは、 ・端末シリアル番号またはユーザIDなど端末固有IDをかんたんログインおよびセッション管理に使用しない ・かんたんログインを利用するユーザに「Ajax規制」を「許可しない」に設定するか、あるいは「スクリプト設定」を「off」にしないと、なりすましの危険性があると注意喚起する を解決策・回避策として挙げています。 発見者の徳丸さんはいつもケータイ関係で重要な脆弱性を発表しておりスゴイですね。 関連: ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 iモードブラウザ2.0の JavaScript機能とかんたん認証を利用した不正アクセスの方法について 国内ケータイ各社のcookie対応率がまとめられた記事「携帯Webのクッキー利用について調べてみたメモ」 Read more..2010/3/25 木曜日 Posted in 記事紹介・リンク | 2 Comments »
ためになる記事を見つけましたのでご紹介します。 最近何かと話題のかんたんログインのDNSリバインディングに関する問題のセキュリティチェックを行う手順を丁寧にまとめた記事がありましたので、ご紹介します。 → HASHコンサルティング徳丸浩の日記 - 自分でできる - 「かんたんログイン」DNSリバインディング耐性のチェック方法 [hash-c.co.jp] 執筆者はこの脆弱性をみつけたHASHコンサルティングの徳丸氏です。 過去にもドコモのJavaScriptに関する問題など、他のセキュリティ問題もご紹介させていただいたことがあり、ケータイのセキュリティにはかなり詳しい方です。 チェック方法は1から指示にしたがってチェックしていくだけの丁寧でわかりやすい形になっていますので、技術にそれほど詳しくない方でも利用できる形になっていると思います。 自サイトにかんたんログインが設置されているという方はチェックしてみてはいかがでしょうか。 関連: 読売新聞にドコモケータイのかんたんログイン脆弱性問題が取り上げあられたようです iモードブラウザ2.0の JavaScript機能とかんたん認証を利用した不正アクセスの方法について @ITで開始されたセキュリティに関する連載記事「再考・ケータイWebのセキュリティ」 Read more..2010/1/13 水曜日 Posted in ニュース, 記事紹介・リンク | No Comments »
昨年の11月末に発覚した、ドコモケータイのJavaScriptとかんたんログインの脆弱性の問題ですが、今頃になって読売新聞に取り上げられ、再び話題となっているようです。 読売新聞のニュースはこちらです。 → YOMIURI ONLINE 最新29機種ドコモ携帯、個人情報流出の恐れ [yomiuri.co.jp] スラッシュドットにも飛び火してますね。 → スラッシュドットジャパン ドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 [slashdot.jp] 以前にも記事にしましたが、簡単に原理を説明しますと、JavaScriptは通常自ドメインとしか通信ができないのですが、それをDNSのDNS Rebindingを使って回避し、情報を盗み出すという方法のようです。 → ke-tai.org iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について [ke-tai.org] 読売新聞の記事の見出しはかなり強い書き方をしていますが、実際のところ未だ被害も出ていないようですし、利用もなかなか難しいのかもしれません。 対応方法は上記のエントリーに書いていますので、まだ対応を取られていないという方はチェックしてみてください。 関連: iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 不具合により停止されていたドコモのJavaScript機能が復活するようです Read more..