アカウント名:
パスワード:
Microsoft 製を含む大多数の Android アプリに存在する「脆弱性」であって、HTTP Over TLS の脆弱な実装と合わせて対処すべきだと思うので投稿します。
最近、ユーザーが、ログイントークン・セッションIDを無効にできない Android アプリ・Webサービスが急増しています。以前は別の端末からログインすると前の端末から自動ログアウトされるサービスが多かったので問題が無かったのですが、マルチデバイスに対応する際に何故か危険な実装となってしまったのだと思います。
本日、Android に OneDrive (v3.1.1) をインストール・サインインして、検証したところ、
2015年07月0
新たな事実が判明したので追記します。
2015年07月04日 00:49OneDrive アプリ起動時にエラーが表示されて、Microsoft アカウントのIDとパスワードを入力する画面に飛ばされた。(ID 部分のみが自動入力済みの状態)
2015年07月02日 13:22 に行った、「パスワードの変更」または「信頼済みデバイスをすべて削除」から、時間的にかなり遅れて、ログイントークンが無効になったようです。
なお、エラーメッセージが表示されて1秒未満でパスワード入力画面に飛ばされたので(自動リダイレクトになっていたのか誤タップしたのかのどちらか)、メッセージの内容を正確に読み取ることはできませんでしたが、ログインが無効になったことを示すような内容でした。
原因としては、ログイントークンの無効化の処理に時間がかかるようになっているのか、ログイントークンを一定時間ごとに自動更新する仕様となっており「パスワードの変更」または「信頼済みデバイスをすべて削除」によって自動更新でエラーとなった可能性が考えられます。
「拾った人が OneDrive アプリでデータのダウンロード・追加・削除がし放題な状況が続きます。」の「し放題な状況が続きます」を「約1日程度し放題な状況が続きます」に訂正します。
ただ、ログイントークンの無効化が行われるまで結構な時間があるので、端末を拾った人が OneDrive アプリでデータのダウンロード・追加・削除が行える時間的な猶予があり「脆弱性があるといえる状態」なことには変わりありません。
特定のデバイスの表示と全体の状況を同じと思った理由はありますか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
OneDrive など ログイントークンを無効にできない Android アプリもなんとかすべき (スコア:5, 興味深い)
Microsoft 製を含む大多数の Android アプリに存在する「脆弱性」であって、HTTP Over TLS の脆弱な実装と合わせて対処すべきだと思うので投稿します。
最近、ユーザーが、ログイントークン・セッションIDを無効にできない Android アプリ・Webサービスが急増しています。以前は別の端末からログインすると前の端末から自動ログアウトされるサービスが多かったので問題が無かったのですが、マルチデバイスに対応する際に何故か危険な実装となってしまったのだと思います。
本日、Android に OneDrive (v3.1.1) をインストール・サインインして、検証したところ、
OneDrive 脆弱性の件 - 追記・訂正1 (スコア:2)
新たな事実が判明したので追記します。
2015年07月02日 13:22 に行った、「パスワードの変更」または「信頼済みデバイスをすべて削除」から、時間的にかなり遅れて、ログイントークンが無効になったようです。
なお、エラーメッセージが表示されて1秒未満でパスワード入力画面に飛ばされたので(自動リダイレクトになっていたのか誤タップしたのかのどちらか)、メッセージの内容を正確に読み取ることはできませんでしたが、ログインが無効になったことを示すような内容でした。
原因としては、ログイントークンの無効化の処理に時間がかかるようになっているのか、ログイントークンを一定時間ごとに自動更新する仕様となっており「パスワードの変更」または「信頼済みデバイスをすべて削除」によって自動更新でエラーとなった可能性が考えられます。
なお、エラーメッセージが表示されて1秒未満でパスワード入力画面に飛ばされたので(自動リダイレクトになっていたのか誤タップしたのかのどちらか)、メッセージの内容を正確に読み取ることはできませんでしたが、ログインが無効になったことを示すような内容でした。
「拾った人が OneDrive アプリでデータのダウンロード・追加・削除がし放題な状況が続きます。」の「し放題な状況が続きます」を「約1日程度し放題な状況が続きます」に訂正します。
ただ、ログイントークンの無効化が行われるまで結構な時間があるので、端末を拾った人が OneDrive アプリでデータのダウンロード・追加・削除が行える時間的な猶予があり「脆弱性があるといえる状態」なことには変わりありません。
Re: (スコア:0)
特定のデバイスの表示と全体の状況を同じと思った理由はありますか?