2010年6月12日(土曜日)
電波チェッカーの脆弱性
公開: 2010年6月14日23時40分頃
ソフトバンクのiPhone用アプリ「電波チェッカー (mb.softbank.jp)」に関して、こんなお話が。
- iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ (togetter.com)
- 電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件 (togetter.com)
- iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ (togetter.com)
言うまでもありませんが、これは、最近議論されているケータイサイトのセキュリティ問題に関連する話です。実際に多数のサービスに問題が発見されている状況があり、電波チェッカーはそれと同じことをしているように見える……という話の流れがあります。togetterのコメントを見ていると、流れを知っている人とそうでない人とで、かなりの温度差が見られますね。
まあ、当事者にも温度差はありそうですけれど。
UDIDは個人情報と結びつかない?
UDIDは個人情報に紐つくものではありません。
電波チェッカーでは、利用者が登録した位置情報とUUIDとが結びつけられており、そのために「UUIDを知られると、登録した位置情報を取得されてしまう」という点が問題になっていました。
氏名等を取得してUDIDと結びつけることも、やろうと思えばできてしまいます。UDIDを取得するアプリケーションの利用時には、迂闊に個人情報を入れたりしないように注意する必要があるでしょう。
また、アプリケーションの提供者は、UDIDを何に利用しているのか明確にすべきでしょう。
パスワードを知られるのと同じ?
行った行為は、 自身のiPhoneのUDIDを知人のiPhoneにセットして行った?通常のIDとパスワードを知人に教えてログインできるかを試しているのと同じですね。
UDIDは端末ごとに固定のものであり、どのサービスに対しても同一の値が送出されます。つまり、秘密情報ではありません。あるサービスのパスワードを別のサービス運営者に知られるようなことはありませんが (ないはずですが)、UDIDは、もとより他のサービスにも取得され得るものです。そして、知られても変更することはできません。
※Twitterのパスワードを別のサイトで入力する、なんてことは誰もしないはずです。本来は。
また、UDIDは人ではなく端末と結びついていて、端末を他人に譲渡しても変更されません。電波チェッカーを削除して端末を譲渡した場合、新しい持ち主が電波チェッカーを入れると、前の持ち主の情報が表示されてしまうことになります。これもパスワードにはない特徴ですね。
UDIDを詐称するのは難しい?
別の端末のUDIDを組み込むこと、皆さん簡単そうだと誤解されちゃってます。OSレベルのクラックを行ったのですかね?Takagiさんのようなレベルの方なら可能?
これは良く分かりませんが、高木さんは既存のソフトウェアだけで可能 (twitter.com)と言われていますね。
そもそも、UDIDは端末側が送っているのであって、ゲートウェイで強制的に付加しているわけではないはずです。となれば、任意のUDIDを送出するアプリケーションを作ることができる可能性はあるでしょう (未確認)。また、通信がHTTPSでなければ、通信途中で改変するという方法も考えられます (やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 (takagi-hiromitsu.jp))。
いずれにしても、UDIDを詐称することが不可能、という前提で考えることは難しいのではないかと思います。
ともあれ、既にソフトバンク側では暫定対応が行われているようで (http://twitter.com/miyakawa11/status/15967750439 (twitter.com))、素早い対応は評価したいですね。
- 「電波チェッカーの脆弱性」へのコメント (1件)
- 前(古い): 2010年6月10日(Thursday)のえび日記
- 次(新しい): 2010年6月14日(Monday)のえび日記
