ソフトバンク携帯電話に脆弱性、「かんたんログイン」でのなりすましが可能に 35
ストーリー by hylom
本当はおそろしいかんたんログイン 部門より
本当はおそろしいかんたんログイン 部門より
あるAnonymous Coward 曰く、
セキュリティコンサルティング会社のHASHコンサルティングが、ソフトバンク携帯電話のブラウザ機能の脆弱性について発表している(『Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題』)。
この脆弱性は「DNS Rebinding」と呼ばれる手法を用いるもので、認証に「かんたんログイン」を使用しているサイトがターゲットとなる。攻撃の仕組みは上記のサイトなどを参照していただきたいが、TTLを短く設定したDNSを用い、悪意のあるWebサイトのドメインに対応するIPアドレスを短期的に攻撃対象のWebサイトのものに書き換えることで、ドメインが異なるWebサイトの情報をAjaxで取得するというもの。これにより、ターゲットのサイト上で閲覧に認証が必要な情報を盗み取ることができる。
一般的なWebブラウザではセッション管理をCookieで行っているため、悪意のあるWebサイトのドメインに対応するIPアドレスを書き換えてもCookieは送信されず、上記の問題は発生しない。いっぽう「かんたんログイン」の場合、認証に使われる携帯電話の機種固有IDはどのドメインに対しても同じものが送信されるため、DNS RebindingとAjaxを組み合わせての攻撃が可能となる。
問題となっている携帯電話端末はJavaScript機能およびAjax機能を備えた端末で、調べた限りでは全ソフトバンク端末の4割程度が影響を受けるとのこと。
関連ストーリーと一緒の内容ですよね (スコア:2)
関連ストーリーのドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 [srad.jp]とキャリアが違うだけの同じ話に見えますが、違うかな
そうすると対処法も一緒?
Re:関連ストーリーと一緒の内容ですよね (スコア:2, 参考になる)
Re:関連ストーリーと一緒の内容ですよね (スコア:3, 参考になる)
この部分ですか。
これでは防ぎようがないですね。
Re:関連ストーリーと一緒の内容ですよね (スコア:3, 興味深い)
ガラケーでは通信を行うと自動でユーザーIDが添付されますから、
攻撃者の勝手サイトに設置したJavaScriptからなんとかして公式サイトにアクセスさせるだけで、
アクセスした公式サイトへのログインが完了してしまいます。
で、その結果を攻撃者のサイトに転送するなり何なりすれば個人情報げっちゅ。ウハウハ。
で、その「なんとかして別サーバーにアクセスさせる」ために「DNSリバインディング」を使うことができる。
ここまでドコモと一緒。
で、ドコモの場合は、ヘッダのHOSTを書き換えることができないので、そこをチェックすればサーバー側で止められたのですが、
ソフトバンクの場合には、ヘッダのHOSTすらもJavaScript側で書き換え可能なので、サーバー側で判定することはできないらしい。
対策は端末でスクリプトをOFF。
通信するだけでログイン完了ってのは実に恐ろしいですね・・・。
公式で対応策が発表されました (スコア:2)
公式でも対応策が公開されました.
まあ、JavaScriptをオフにしてくれと。
http://mb.softbank.jp/mb/information/details/100527.html [softbank.jp]
半年前に知っていたらしいんで、今まではソフトウェアアップデートで修正しようと頑張っていたけど、
アップデートの準備が整う前に脆弱性を公開されちゃった、という感じでしょうか。
Re: (スコア:0)
Re: (スコア:0)
まあソフトバンクだし。
なんといいますか (スコア:1, オフトピック)
信用ならず今でも使用していません・・・。
銀行などもインターネットからいろいろ出来るようですが、そういうのも信用できず、
使ってなかったり・・・。
こういう業界(IT系)にいながら、逆に時代に取り残されているか感が私はあります(苦笑)。
Re: (スコア:0)
うーん。こういう業界なればこそ
いろいろな情報が集まるわけだから
メリットとデメリットを秤にかけたりして
取捨選択できるんだと思うけどな。
# 正直、家の鍵の脆弱性に比べれば
# お財布携帯の脆弱性なんて無いようなもんですよ
Re: (スコア:0)
取捨選択した結果、「全部信用ならん」となったんじゃないかな…。
この手の仕事してれば、ハードもソフトも結構イイカゲンなのは目にしますし。
Re: (スコア:0)
それなのにIDとってスラドに書き込むなんて
何やってんですか
Re: (スコア:0)
Re:なんといいますか (スコア:2)
携帯電話には電話とメールしか期待していない私からしてみたら、
それ以外の機能で、外部とデータの送受信を行い、何かしようというようなものは全部同じようなものです。
Re:なんといいますか (スコア:2)
バグがあるだろうプログラム(携帯電話)を使って動いているものたいして、
サービス(個々の機能)単位で見てもバグがあるだろうと思われる機能を使って、
個人情報や金銭のやりとりは行いたくないというのが本音です。
ただ、それをやらなくては仕事や生活に支障が出るというのでしたら、
使用しますが、そうでないのなら、使う事はないでしょうね。
Re: (スコア:0)
元コメのヒトにとっては無線機器は全部一緒なんですよ。
ソフトバンク携帯だけかな? (スコア:0)
そもそもかんたんログインみたいな方法を公開ネットワーク上で使うこと自体
リスクがあると思いますが、それはそれとしてソフトバンクには対応願いたいところ。
むしろcookieに対応してない端末がまだかなり多いドコモは大丈夫かしら。
http://takagi-hiromitsu.jp/diary/20100520.html#p01 [takagi-hiromitsu.jp]
サイト側の対策 (スコア:0)
ソフトバンク端末はほとんどすべてがCookieをサポートしてる [milkstand.net]んだから、いっそソフトバンク端末ではかんたんログイン対応をやめてしまうのが手っ取り早い。具体的には「IPアドレス帯域」からソフトバンクの範囲を外して、PCと同様にセッション管理する。
Re:サイト側の対策 (スコア:1)
そんなことをせずとも、きちんとバーチャルホストの設定をして、予期しているホスト名を使用してのアクセス以外を弾いてしまえば、DNS Rebindingの影響は受けないのでは?
そうすれば機能的に損なう物もないですし。
Re:サイト側の対策 (スコア:4, 参考になる)
PCブラウザ、iモードブラウザではHostヘッダの上書きはできません。
Re: (スコア:0)
タレコミにコレも書いてくれないと。
Re: (スコア:0)
Re: (スコア:0)
括弧内の条件は
とどう関係してるんだ?
Re: (スコア:0)
意訳:DND rebinding に関係なく、Host: の書き換え自体が危険
→ Host: 書き換えの危険性って何ですか?
Re: (スコア:0)
がんばって誤読させようとしているのは分かるけど、もう少し上手く書こうね
Re: (スコア:0)
#1769778 の理解は正しいと思うんだけど、どう違うの?
Re:サイト側の対策 (スコア:2, 参考になる)
> そんなことをせずとも、きちんとバーチャルホストの設定をして、
バーチャルホストの設定は「かんたんログイン」とやらの設計そのものの根本的な欠陥を回避するためにやむなく行うことで、設定していないからと言って「きちんと」していないのではない。
「かんたんログイン」などさっさと捨ててしまうことこそ「きちんと」した対応。
> 予期しているホスト名を使用してのアクセス以外を弾いてしまえば、DNS Rebindingの影響は受けないのでは?
そもそもDNS Rebindingの影響を受けないとしても安全性など保証されていないけど、それ以前に今回のソフトバンクの件ではsetRequestHeaderでHostを書き換え可能な機種が存在するので明らかに安全ではない。せめてリンク先のアドバイザリくらい読んでから物言ったら?
> そうすれば機能的に損なう物もないですし。
別に端末IDがないと機能を維持できないわけではない。
Re: (スコア:0)
要するに (スコア:0)
#絶対フレームの元なのでACで
Re:要するに (スコア:2)
端末の閉鎖性を当て込んで作ったような仕組みはやだなあ(棒
Re:要するに (スコア:2)
脆弱性があれば危ないのはPCだって全くおんなじではあります。
が、ガラケーサイトの場合「ケータイキャリアのゲートウェイ経由の通信は全面的に信用する」というセキュリティ方針で開発されているので、
実のところキャリア側にかかっている負担はかなりのものなのではないかと。海外進出の妨げにもなっているはず。
今後端末機能を強化していく時に常に癌となりそうな仕様です。
例えば、AU の Wi-Fi WIN では、無線LAN経由でガラケーサイトに接続することができるのですが、
これは無線LANで直接ガラケーサイトにアクセスしているのではなくて、
通信を暗号化した上でわざわざ AU の ゲートウェイ を経由しているらしいです。
なので、AUの設備的には通信量が増える一方なので、無線LANなのに月額料金を取るハメになっています。
ちなみに ソフトバンク の ケータイWi-Fi の場合にはガラケーサイトには接続できません。
こんな感じで、既に、かんたんログインを死守するために、
・ソフトバンクはせっかくの新機能なのにケータイサイトへのアクセスを提供できない
・AUはせっかくの新機能なのに月額料金をとらないとならない
という歪みがでてしまっています。
長くなりましたが、要は、かんたんログインの問題点というのは、
キャリアの対応がしっかりしている限りはセキュリティの問題はさほど心配ないのですが、
逆に言えばキャリアに掛かっている負担はかなりのものであると同時に、
今後の機能拡張は困難を極めると予想されます。
Re:要するに (スコア:2)
誤解を招く可能性がある書き方だったので補足。
ソフトバンクのケータイでも無線LANを使うには別料金いります。
今日もどこかで死の行進(Re:要するに) (スコア:0)
>要するにガラケーは危ないってことですね。
開発者の命がですね、分かります。
#これでまた、どこかの部署でデスマが発生するんだろうなあ。
Re: (スコア:0)
フレームの元じゃなくて荒らしだろ
思いこみによる単なる誹謗中傷でしかない
Re: (スコア:0)
え? 懸念が挙がっていたものが、現実になったということでは?
具体的手段が違うとはいえ、根本原因となっているのはガラバゴス化したケータイサイト業界が
個人識別番号に頼った認証方法にあるので、付け焼き刃の対策したところでいずれボロが出るということです。
ソフトバンクということであれば、 98.7%はcookieが使える端末 [takagi-hiromitsu.jp]だそうで、PC同様のセッション管理すれば?って話。
Re: (スコア:0)
使える端末は 100% じゃないですかね。1.3% の人がオフに設定してるってだけで。