読売新聞にドコモケータイのかんたんログイン脆弱性問題が取り上げあられたようです

2010/1/13 水曜日 Posted in ニュース, 記事紹介・リンク | No Comments »

昨年の11月末に発覚した、ドコモケータイのJavaScriptとかんたんログインの脆弱性の問題ですが、今頃になって読売新聞に取り上げられ、再び話題となっているようです。   読売新聞のニュースはこちらです。 → YOMIURI ONLINE 最新29機種ドコモ携帯、個人情報流出の恐れ [yomiuri.co.jp] スラッシュドットにも飛び火してますね。 → スラッシュドットジャパン ドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 [slashdot.jp]   以前にも記事にしましたが、簡単に原理を説明しますと、JavaScriptは通常自ドメインとしか通信ができないのですが、それをDNSのDNS Rebindingを使って回避し、情報を盗み出すという方法のようです。 → ke-tai.org iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について [ke-tai.org]   読売新聞の記事の見出しはかなり強い書き方をしていますが、実際のところ未だ被害も出ていないようですし、利用もなかなか難しいのかもしれません。 対応方法は上記のエントリーに書いていますので、まだ対応を取られていないという方はチェックしてみてください。   関連: iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 不具合により停止されていたドコモのJavaScript機能が復活するようです Read more..