パスワードを忘れた? アカウント作成
327193 story
セキュリティ

Google Calendar などにアクセスする Android アプリに情報流出のおそれ 19

ストーリー by reo
スマホこわい 部門より

ある Anonymous Coward 曰く、

ITmedia News の記事によると、「ClientLogin」という認証方式を使っている Android アプリケーションが、暗号化されない経路で認証情報をやり取りしているという問題が明らかになった (発見者である独ウルム大学のBastian Könings 氏による解説) 。

ClientLogin は Google Calendar や Google Contacts などへのアクセスで用いられており、公衆無線 LAN などの安全でない経路でインターネットに接続した際に認証情報を傍受して個人情報にアクセスしたり改ざんすることができるという。

この問題は Android 2.3.4 以降で対処されているが、調査によれば 2.3.4 以降を利用しているユーザのシェアは 0.3 % 程度であるため 99.7 % の Android ユーザに影響があると考えられるとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2011年05月19日 12時22分 (#1955000)

    Google、Androidアプリの情報流出問題で対応を表明 [itmedia.co.jp]によると、「本日(5月18日)からフィックスの提供を開始する。ユーザー側で操作する必要はない。フィックスは今後数日かけて各国でリリースする」とのこと。

    これって、要するに各種アプリがhttpsではなくhttpでログイン認証他をやってるから、WiFi等でパケットモニタすれば中身が見られてしまうよって話だよね。androidに限らず、WiFiスポットでノートPCやスマートフォンで接続してhttpのままログインしていれば普通に起きる話じゃないの?

  • 手元の Desire HD でバージョンを確認したところ、2.3.3 でした。

  • by Anonymous Coward on 2011年05月19日 13時40分 (#1955067)
    認証情報をネット越しに平文でやりとりなんて、
    いつの時代の発想?って気がするんですが、
    ClientLoginは、なぜ平文での実装だたんだろ?

    平文POP、SMTP、FTP、etc...
    それと同じく仕方なしに残っているものなのかな?

    それとも端末内ローカル限定で使える認証機能として
    本来は実装したかったのかな?

    # ミスは仕方がない
    # だが原因は明確にしなければならない
    # 勘違があったのか
    # 疑問なく用いたのか
    # そこが問題だ
    • by Anonymous Coward

      そうは言っても通信経路上のパケットを傍受される場面てそんなになくない?

      ネットなんでどんな経路をとるかわからないけど、不特定多数の人がパケットキャプチャ
      出来る場所ってあるのかな?

      暗号化されてない無線LANとか変なプロキシとかは論外だけど、
      普通にインターネットに接続したら、プロバイダや通信キャリアのルータぐらいじゃない?
      キャプチャ出来るのは通信保守のエンジニアとかかなり限られた人だよな
      (会社とかなら途中でミラーリングポート持ったSWとかかませられるけど…)

  • by Anonymous Coward on 2011年05月19日 13時11分 (#1955041)
    詳しくないんですが、この脆弱性はGoogleが対策を打つ前に公開して良かった脆弱性なんですか? 本来しかるべき筋から連絡し、先に対策を打たせるべしと言いますが。
    • by Takahacircus (9161) on 2011年05月19日 13時15分 (#1955049) ホームページ 日記

      とりあえず、有るサイトが全てのサービスをhttpでやってる。
      と同じ問題ですので、間に信用できないルータ等が無ければ・・・と言うことですね。

      #正確には色々方法はあるけど致命的って程でもないのかなぁ?と思ってみた。
      #セキュリティ的にまずいのは認識してますが、ルータ挟めるならHTTPSでも抜けるらしいですし。

      親コメント
      • Re:exploit disclosure (スコア:1, 参考になる)

        by Anonymous Coward on 2011年05月19日 14時30分 (#1955109)

        ・Androidアプリには通常アドレスバーのようなユーザーが確認して回避するための機構はない
        ・ユーザーが能動的にアクセスするWebサイトと違って、通信はバックグラウンドで行われる
        ということでヤバさが違います。PCの世界でも、Apple Software UpdateがSSLを使っていないことは脆弱性とみなされました。
        > ルータ挟めるならHTTPSでも抜けるらしいですし。
        アプリがオレオレ証明書のエラーを無視して通信を強行するような馬鹿な設計になっていない限り、そんな問題は生じません。責任をユーザーに丸投げしているWebブラウザの場合と違って、通信を続行するかどうかはアプリの開発者が決められます。

        親コメント
      • by Anonymous Coward

        >#セキュリティ的にまずいのは認識してますが、ルータ挟めるならHTTPSでも抜けるらしいですし。
        オレオレ証明書の場合は、ですよね?

    • Google 自身がこの脆弱性を認識していなかったら、そうするべきだったでしょうね。
      実際のところは, Google もこの脆弱性を認識していたのではないでしょうか。
      # ClientLogin の解説ページにも,できたら OAuth 使おうね,って書いてるみたい。

      この場合に「サービスには HTTPS でアクセスしてね」という警告が必要な対象は,
      ユーザとサードパーティのアプリケーション開発者だと思われます。なので,手順
      としては間違っていないんじゃないかな。

      で,(Google が作ってるはずの)「標準アプリケーション」でもきちんと対応されて
      ないってのはまずいんじゃないの?というのがツッコミどころの一つだとは思います。

  • by Anonymous Coward on 2011年05月19日 14時23分 (#1955105)
    このversionってNexus oneとNexus Sにしかまだないのでは?
    Custom ROM焼いてる人を除いて。
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...