金利0無利息キャッシング – キャッシングできます

 | 

2012-02-14

iOS版のPathはSSLの証明書エラーを無視している → 修正された

14:20 | iOS版のPathはSSLの証明書エラーを無視している → 修正された - 金利0無利息キャッシング – キャッシングできます を含むブックマーク はてなブックマーク - iOS版のPathはSSLの証明書エラーを無視している → 修正された - 金利0無利息キャッシング – キャッシングできます

ココらへんの問題について

何人か言及してる人がいるのだけど

手順見ておかしいと気付く人は気付くだろうけど、これiPhoneの方に証明書を追加してない。

SSLを使って暗号化されている通信内容を解析するときには、中継するプロキシサーバーを「信用します」と端末に設定することで、SSLを使った通信でもキャプチャが出来るようになる。Pathのアプリは、そういった手順を取らなくてもSSLを使った通信をキャプチャ出来る状態になっていた、中間者攻撃を受けても警告も無く、通信を止めない状態であった。わざわざ証明書エラーを無視するような設定にしないと、こんなことにはならない。Android版の方は検証していない。

Pathの人にはTwitterとメールフォーム経由で送ってあるんだけど、今のところ返事がない。

2011-03-11 追記

特に返事ないけど version 2.1 (2011-03-08リリース) で修正された。


どういう脅威があるのか

信用出来ないWi-Fiアクセスポイントに接続するなどした場合に、Path内での通信内容が他人に盗み見られる可能性がある(iPhone側には何の細工もいらない)。信用出来ない回線を使わなければ、盗聴されるということは無いだろうから、直ちに危険というわけではない。SSLを使っていないアプリと同程度に危険。盗聴された場合は、Pathのメールアドレスとパスワードが知られうる。アドレス帳送る際にはアドレス帳の内容が第三者から知られうる。

ユーザーとメディアの無責任さについて

報道したメディアが、謝った、直った、良かった、みたいな感じになってるんだけど、現在進行形でおかしなことが起きてることについて総スルーしていて気持ち悪い。これは実装上のミスだろうから、アドレス帳を送っている件と直接は関係がない。なんだけど「We always transmit this and any other information you share on Path to our servers over an encrypted connection. It is also stored securely on our servers using industry standard firewall technology.」証明書エラーを無視していて盗聴可能であるのに、暗号化された接続と言ってしまっている。理解されやすい表層的な部分ばかり取り上げられて、本気で技術的におかしなことが起きていてもスルーされてしまう。

そもそも、これは「セキュリティ専門家」が「特殊なツールを使って」解析しないと分からないようなことだったのか?俺にはそんな風に思えない。本当にこっそり送っているのなら、分からないだろうけど、Pathってそういうケースではないよね。登録後に、特に何もしなくてもアドレス帳内からPathを使っている友人の一覧が推薦されたのを多くのユーザーが目にしてきたはずだ。人々はそれを受け入れてきたのか?仕方ないと思ってきたのか?不愉快だけどフィードバックされて来なかったのか?それとも謎の仕組みでサーバーにアドレス帳を送信せずに友人候補を出していると思っていたのか?

色んな課題がある

  • そもそもアドレス帳に入っている個人情報は誰のもの?
  • iOS側でアドレス帳の読み取りに対して許可を求めるべきなんじゃないの?
  • 人間関係のインポート/エクスポートを安全に行うにはどうすれば?
    • 電話番号のハッシュ値は無意味問題(元に戻せるから)
  • 非公開のつもりで登録したメールアドレスや電話番号が「検索可能」になっている問題
    • 「メールアドレス」や「電話番号」を非公開のつもりで登録してるのに、アドレス帳から探すAPI経由で特定出来る問題
    • サービスによっては検索を拒否する設定があるが、拒否できない場合がある
    • そのメールアドレスや電話番号とは紐付けたくなかったアカウントが意図せず紐付いてしまう
    • 場合によってはブルートフォースアタックで特定のユーザーのメールアドレスや電話番号が分かるだろう

ここらへんの問題については長くなるのでそのうち書こうと思う。

トラックバック - http://subtech.g.hatena.ne.jp/mala/20120214
 |