JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」

2009/8/5 水曜日 Posted in 記事紹介・リンク | 4 Comments »

昨日に続きセキュリティ関連の話題です。 下記のブログ記事が大変面白く、参考になる良エントリーでしたのでご紹介させていただきます。   → 徳丸浩の日記 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 [www.tokumaru.org]   今年の5月にドコモから発売されたJavaScript対応端末ですが、販売開始後すぐにソフトウェアアップデートによりJavaScript機能が停止されてしまいました。 上記エントリーでは、この停止の原因となった脆弱性について仮説を立てて検証しています。   詳しい内容は上記ブログを読んでいただくとして、概要としては、XMLHttpRequestのsetRequestHeaderメソッドとXSS脆弱性とを組み合わせて、ユーザエージェントやiモードIDなどのリクエストヘッダを改ざんし、かんたんログインのなりすましを行うことができたのではないか、というものとなっています。   iモードIDは、ドコモサーバ側で付与されるヘッダ情報「X-DCMGUID」から取得します。 通常この情報はケータイ上からは改ざんできませんし、もし万が一改ざんできたとしてもドコモのサーバ側で上書きされるはずです。(現状改ざんできないので実際に試したわけではないですが) もちろんPCからのアクセスであれば、容易にIDを騙ることができますが、通常ケータイサイトでは、Firewallや.htaccessなどによるIPアドレス帯域による制限を行うため、ケータイ以外からはアクセスできません。 しかしながら、ドコモ以外のキャリアを名乗ることによって、サーバ側で上書きされないX-UP-SUBNOやX-JPHONE-UIDを変更し、かんたんログインを突破できたのではないか、という仮説となっています。 ドコモからは、販売停止やJavaScript機能の停止の理由は公表されていないため、あくまで仮説ではあるものの、かなり興味深い内容ですね。   他にもソフトバンクに関しては、昨日ご紹介した記事「SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ [d.hatena.ne.jp]」で示されたような、かんたんログイン機能への脅威についても言及しています。   よく「かんたんログインは使うな」「かんたんログインの利用を推奨するような記事を書くな」というご意見をいただくことがあります。 もちろんごもっともな意見ではあるのですが、セキュリティと利便性は裏表な部分もあり、キャリアが代替手段を出すまでは、サイトの内容やクライアントの意向によっては導入せざるを得ない場合も多々あると思います。 我々に出来ることは、できる限り正しい情報を把握し、より安全に使える保険を一つ一つ積み重ねていくことが大事なのではないかと思っています。   セキュリティに関する記事の場合は特に、はてなブックマーク上からの突っ込みコメントが多くなる傾向があります。 ご指摘いただいた内容に関しては、可能な限り再チェックし、記事に不適切な部分があるのであれば修正していきたいと思っています。 突っ込みをいただく場合は、出来ればはてなブックマークからのコメントだけではなく、コメント欄やフォーラムもご利用いただけると、内容の確認が行いやすく助かります。 ぜひご協力をお願いいたします。   関連: ソフトバンクの携帯用GatewayをPCで通る方法があるようです 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました ケータイの認証用IDの現状をまとめたブログ記事「携帯各キャリアの固有IDについて (全キャリア対応)」 Read more..

ソフトバンクの携帯用GatewayをPCで通る方法があるようです

2009/8/4 火曜日 Posted in タレコミ, 記事紹介・リンク | 4 Comments »

mogyaさんからのタレコミです。 (情報提供ありがとうございます) ソフトバンクの携帯用ゲートウェイを、PC経由で通る方法があるとのことです。 扱う情報にもよりますが、ケータイサイトではIPアドレス帯域を制限して、ケータイからのアクセスのみを許可するのが一般的です。 これが可能なのであれば色々と問題がありますね。   → Perlとかmemoとか日記とか。 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ [d.hatena.ne.jp]   ソフトバンクのゲートウェイをPCから通過する方法としては次の2つが挙げられています。 SIMUnlock済みのiPhoneを使う方法 ソフトバンクのケータイをUSB接続しダイアルアップする方法   1の方法はまあ良いとしても、2の方法はごく単純な方法ですね。 なぜ対策が取られていないのでしょうか?   これらの方法をつかえば、例えばケータイからのみしかアクセスできないサイトにアクセスし、HTMLソースを見てデザインの参考にする、といったことが可能になります。 悪用方法としては、待ち受け画像などにアクセスしてPC上から保存してしまう(これが可能かどうかはプログラム側の作りにもよりますが)、他人の端末ID(製造番号)を騙ってログインしてしまう、などが考えられます。   ただ、契約ユーザID(x-jphone-uid)のヘッダ情報はネットワーク側で付与されるので、こちらは偽装が不可能とのことです。 (※実際に検証したわけではありません。もし試した方がいましたら結果を教えてください。) ※追記 フォーラムから次のような報告がありました 試してみたのですが、実際にSBのIPでパソコンから接続することが出来ました。 FireMobileSimulatorで指定してみたのですが、偽装出来ませんでした。 機種変を行っても変わらないなどのメリットもあることから、多くのサービスが契約ユーザIDを利用していると思いますが、もし端末ID(製造番号)で認証を行っているという方は注意が必要だと思われます。   あとは他キャリアはどのような状況になっているのかも気になるところですね。 もし情報をお持ちの方がいましたら教えてください。   関連: 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました 2009年7月24日付けでソフトバンク(Yahoo!ケータイ)のIPアドレス帯域に変更があったようです ケータイの認証用IDの現状をまとめたブログ記事「携帯各キャリアの固有IDについて (全キャリア対応)」 Read more..

ケータイの個体識別番号とプライバシーについて言及した記事「行動ターゲティング広告はどこまで許されるのか」

2008/10/17 金曜日 Posted in 記事紹介・リンク | No Comments »

IT-PLUSに、情報セキュリティで有名なあの高木先生が書いた、「行動ターゲティング広告はどこまで許されるのか」という記事が掲載されていましたのでご紹介します。 → IT-PLUS 行動ターゲティング広告はどこまで許されるのか [it.nikkei.co.jp]   高木先生といえば、こちらの日記、 → 高木浩光@自宅の日記 日本のインターネットが終了する日 [takagi-hiromitsu.jp] で、ケータイの個体識別番号とプライバシー/セキュリティの問題を指摘し、大きな反響を呼んだことで有名です。   今回の記事は2ページ構成となっており、1ページ目では「ブラウザーの「バグ」を用いた行動追跡」について、2ページ目では行動ターゲティング広告という切り口から、個体識別番号を用いた嗜好情報の売買などのプライバシーリスクについて解説しています。   前述の日記も今回の記事も、ケータイの固体識別情報を扱う上で強く意識しなければならないことが数多く載っています。 ケータイ向けのサイトを開発・運営している方はぜひ目を通してみてはいかがでしょうか。   関連: ケータイの端末ID・ユーザIDの取得についてまとめてみました 本日提供が開始された「iモードID」機能を早速試してみました PHPでケータイからセッションを使う場合の設定方法 Read more..

Next Entries »