Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題があるとのことです

2010/5/24 月曜日 Posted in SoftBank, ニュース, 記事紹介・リンク | 5 Comments »

以前、ドコモのiモードブラウザ2.0のJavaScript機能とDNSリバインディングとを組み合わせて、かんたんログイン認証で成りすましを行うという脆弱性を発表したHASHコンサルティング株式会社ですが、今回またソフトバンクの一部端末でも同様の問題が起きるという情報を公開したようです。   → HASHコンサルティング株式会社 Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 [hash-c.co.jp]   影響がある機種は2006年冬モデル以降となっているのですが、その多くはサーバやアプリでHostフィールドをチェックすることで対策が可能です。 これらの端末の場合は、ドコモのiモードブラウザ2.0と同じ脆弱性ですので、既に多くの方が対応済みかと思います。 参考: → ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 [ke-tai.org]   しかしながら、「2008年春モデル以降のシャープ製端末の大半」および「820N」「821N」「830CA」「940SC」(※現在のところ判明している機種であることに注意)に関しては、現状アプリ側での対策ができないようです。 (setRequestHeaderメソッドでHostフィールドを上書き可能なため)   取り急ぎアプリ側で取れる苦しい対応としては、ユーザエージェントで上記端末を判定して、非対応機種として弾くことくらいかなと思ったのですが、シャープ端末はシェアが大きいですし難しいでしょう。 またこれらの機種のブラウザのsetRequestHeaderメソッドでUserAgentが上書きできるかどうかが気になるところです。(もしこれができるなら、端末判定も信用できません) もちろん、即日対応可能な内容ではないでしょうが、かんたんログインから他の認証方法に移るのが確実です。   上記のサイトでは、 ・端末シリアル番号またはユーザIDなど端末固有IDをかんたんログインおよびセッション管理に使用しない ・かんたんログインを利用するユーザに「Ajax規制」を「許可しない」に設定するか、あるいは「スクリプト設定」を「off」にしないと、なりすましの危険性があると注意喚起する を解決策・回避策として挙げています。   発見者の徳丸さんはいつもケータイ関係で重要な脆弱性を発表しておりスゴイですね。   関連: ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 iモードブラウザ2.0の JavaScript機能とかんたん認証を利用した不正アクセスの方法について 国内ケータイ各社のcookie対応率がまとめられた記事「携帯Webのクッキー利用について調べてみたメモ」 Read more..

ソフトバンクケータイが2010年夏モデルの一部からAjax対応になるようです

2010/5/19 水曜日 Posted in SoftBank, ニュース | 2 Comments »

ケータイコンテンツ作成者にとっては大きなニュースです。 昨日発表されたソフトバンクの2010年夏モデルですが、一部の機種で搭載されているブラウザがJavaScript(Ajax)に対応しているとのことです。   → ケータイWatch Yahoo!ケータイのブラウザが仕様改定、Ajaxなどに対応 [k-tai.impress.co.jp]   ドコモでは一足早く2009年夏モデル(iモードブラウザ2.0搭載機種)から、JavaScriptに対応しています。 ソフトバンクはそれを追う形となり、担当者の話では仕様的にも「NTTドコモのiモードブラウザ2.0に沿った形」との説明があったようです。 対応機種はいまのところ、944SH、945SHの2機種のようです。   auは今のところ説明はありませんが、もしかしたら同じタイミングで今年の夏モデルから対応しているのかもしれません。 詳しい端末仕様はまだ公開されていませんので、今後の発表に注目ですね。   ケータイサイトはブラウザの画面サイズや操作面での制約が多いため、少しでもユーザビリティを向上させることのできるAjaxとは親和性が高いと思われます。 対応端末のシェアが十分に上がれば、PCサイトよりもAjaxが活用される形になるのでないかと思っています。   関連: ドコモのフルブラウザのAjax対応状況 ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 iモードブラウザ2.0の JavaScript機能とかんたん認証を利用した不正アクセスの方法について Read more..