水無月ばけらのえび日記

Yahoo!ケータイのXHRでHost:チェックを突破できる話

公開: 2010年6月4日1時25分頃

WASForum 2010 で発表されたソフトバンク端末の脆弱性ですが、文書として公開されました……セキュリティ情報 - Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 (www.hash-c.co.jp)。

以前に公開された「iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 (www.hash-c.co.jp)」は、かんたんログインを使っているサイトがDNS Rebindingで攻撃されると認証を突破されてしまうという問題です。このとき公表された対策は、「Host:の値を見る」というものでした。DNS Rebindingの攻撃では、HTTP要求ヘッダのHost: の値が攻撃者のドメインになりますので、サイト側でHost:の値をチェックすれば対応できます。

しかし、この対策が有効となるためには、XMLHttpRequestでHost:の値が変更できないという前提が必要です。Host:の値が変更できる場合、攻撃の際にHost:の値を正しいドメインに変更することができますので、Host:を見る対策は簡単に突破されてしまいます。これでは打つ手がありません。

そして、徳丸さんの調査によって、ソフトバンク端末ではこれができてしまうことが分かったわけですね。

そもそも当初、この問題の影響を受けるのはdocomoのiモードブラウザ2.0端末だとされていました。昔のケータイ端末はJavaScriptに対応していませんでしたが、docomoのiモードブラウザ2.0が初めてJavaScriptとXMLHttpRequestに対応し、そこで初めてこの攻撃が可能になった……と、思われていたわけです。

ところが、実はソフトバンク端末はそれよりも早く、ひっそりとJavaScriptとXMLHttpRequestに対応していたのですね (参考:ソフトバンク端末がAjaxに対応?)。この対応は非公式なもので、あまり知られていなかったため、問題として認識されていなかったと。サイト側の安全性にも影響するような機能なのですから、もっとちゃんと公表してほしいところですね……。

……。ソフトバンクの場合、twitter で @masasonさんにつぶやくと対応してもらえることがあるらしい……という噂を小耳に挟みました。試しに「御社からも対応を働きかけていただけますでしょうか? (twitter.com)」とつぶやいてみましたが、はてさて。

• 「Yahoo!ケータイのXHRでHost:チェックを突破できる話」にコメントを書く

関連する話題: セキュリティ / モバイル / Twitter