水無月ばけらのえび日記

各サービスのかんたんログイン機能

• はてな …… 「かんたんログイン」あり
• ライブドア …… 「クイックログイン」あり
• mixi …… 「かんたんログイン」あり
• ブラウザ三国志 …… なんと、「かんたんログイン」のみ。むしろ潔い?
• Twitter …… かんたんログインあり。このサービスは、端末が3台あれば3台ともかんたんログインできるように頑張っている。
• Remember The Milk …… iモードのみ、「かんたんログイン」が利用可能

かんたんログインが成り立つための条件

• 端末固有ID …… 秘密情報ではない。「書き換えができない」という前提
• ふつうにHTTPヘッダに入っている
• 携帯電話を使っている限りは書き換えできない?

ケータイJSで端末固有IDを書き換える

• XMLHttpRequestが使用できる
• setRequestHeaderが使用できる
• setRequestHeaderでリクエストヘッダを書き換ることができる

……10月の時点で、setRequestHeaderが機能しなくなった (setRequestHeaderメソッドはあるが、呼んでも何もしない)。これにより、能動的攻撃はできなくなった。

mpw.jpによる情報

• ケータイサイトのHTMLソースの閲覧方法、というテクニックが公表される (iモード専用サイトのhtmlソースの閲覧方法 - mpw.jp管理人のBlog (mpw.jp))
• →これはDNS Rebindingではないか?
• HTMLソースを読めること自体は問題ないが……。

徳丸浩の熱い日

• 事業者側での対応は困難。一方、サイト側での対策は可能。
• そのため、公表することにした。

DNS Pinning

• IEは強固だが、他のブラウザは割とゆるい。キャリアのせいというわけでもなさそう
• ゲートウェイで名前解決するので、ブラウザ側では対策できない
• ゲートウェイ側で一定時間Pinningする場合、ゲートウェイが共有であることが問題になる。攻撃者がPinning開始時間を設定できる (例: Pinningが1時間なら、攻撃者は攻撃開始の58分前に1度アクセスしておけば良い)

ゲートウェイIPの変遷

• リモートホストのIPアドレスは頻繁に変わる
• docomoは1分間はDNSキャッシュを保持
• ゲートウェイの群単位でキャッシュを共有しているらしい?

setRequestHeaderはどのヘッダを改変して良いか?

• Host, Referer は書き換えできては駄目なはず……。
• ソフトバンク端末では、なんと Host: が書き換えできてしまう!

徳丸浩の熱い日2

• 932SHを購入 (7万円) して確認。
• 問題を報告。ソフトバンクモバイルの側の担当者がアサイン
• 12月某日、ソフトバンクにて打ち合わせ

Host: の改変防止が根本対策だが……。

3月末某日

• DNSの挙動に変化が……
• DNSキャッシュを5分間保持するようになった
• ただしゲートウェイ群が切り替わると駄目

しびれを切らして……

• デフォルトAjax許可の端末はないのか?
• マニュアルを片っ端からダウンロードして通読
• 検証センターで検証!!

• NET FRONTのACCESS社は何をしていたのか!?
• IEも昔は脆弱だったが、対応してきた歴史がある。
• 携帯端末でのブラウザシェア8割に見合う責任を果たしていただきたい

幸い、Ajaxデフォルト有効機種はシェアが低いため、影響は大きくないと判断し、このたび公開を判断した。