ヤマト運輸ケータイサイトに脆弱性があった問題の続報

2010/10/26 火曜日 Posted in ニュース, 記事紹介・リンク | No Comments »

昨日の記事の続きです。 ヤマト運輸のケータイサイトに「かんたんログイン」関連の脆弱性があった問題について、やはり高木先生が日記にまとめてくれたようです。   → 高木浩光@自宅の日記 かんたんログイン方式で漏洩事故が発生 [takagi-hiromitsu.jp]   本件は、発見者がIPAよりも先に高木先生に相談したということもあり、実際のアプリを使った詳しい検証記事の形にまとめられています。   原因はやはりキャリアIPアドレスの制限が行われていなかったことのようですね。 IPアドレスによる制限がない場合は、ごく簡単にユーザIDの詐称が行われてしまうので、注意が必要です。   もちろん高木先生としては、IPアドレス制限による対策などではなく、かんたんログイン自体を捨て、cookieによるログイン制御を行うように進めています。   関連: ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」 ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 Read more..

読売新聞にドコモケータイのかんたんログイン脆弱性問題が取り上げあられたようです

2010/1/13 水曜日 Posted in ニュース, 記事紹介・リンク | No Comments »

昨年の11月末に発覚した、ドコモケータイのJavaScriptとかんたんログインの脆弱性の問題ですが、今頃になって読売新聞に取り上げられ、再び話題となっているようです。   読売新聞のニュースはこちらです。 → YOMIURI ONLINE 最新29機種ドコモ携帯、個人情報流出の恐れ [yomiuri.co.jp] スラッシュドットにも飛び火してますね。 → スラッシュドットジャパン ドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 [slashdot.jp]   以前にも記事にしましたが、簡単に原理を説明しますと、JavaScriptは通常自ドメインとしか通信ができないのですが、それをDNSのDNS Rebindingを使って回避し、情報を盗み出すという方法のようです。 → ke-tai.org iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について [ke-tai.org]   読売新聞の記事の見出しはかなり強い書き方をしていますが、実際のところ未だ被害も出ていないようですし、利用もなかなか難しいのかもしれません。 対応方法は上記のエントリーに書いていますので、まだ対応を取られていないという方はチェックしてみてください。   関連: iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 不具合により停止されていたドコモのJavaScript機能が復活するようです Read more..