|
|
|
|
|
||
|
||
| 
ココらへんの問題について
何人か言及してる人がいるのだけど
手順見ておかしいと気付く人は気付くだろうけど、これiPhoneの方に証明書を追加してない。
SSLを使って暗号化されている通信内容を解析するときには、中継するプロキシサーバーを「信用します」と端末に設定することで、SSLを使った通信でもキャプチャが出来るようになる。Pathのアプリは、そういった手順を取らなくてもSSLを使った通信をキャプチャ出来る状態になっていた、中間者攻撃を受けても警告も無く、通信を止めない状態であった。わざわざ証明書エラーを無視するような設定にしないと、こんなことにはならない。Android版の方は検証していない。
Pathの人にはTwitterとメールフォーム経由で送ってあるんだけど、今のところ返事がない。
2011-03-11 追記
特に返事ないけど version 2.1 (2011-03-08リリース) で修正された。
信用出来ないWi-Fiアクセスポイントに接続するなどした場合に、Path内での通信内容が他人に盗み見られる可能性がある(iPhone側には何の細工もいらない)。信用出来ない回線を使わなければ、盗聴されるということは無いだろうから、直ちに危険というわけではない。SSLを使っていないアプリと同程度に危険。盗聴された場合は、Pathのメールアドレスとパスワードが知られうる。アドレス帳送る際にはアドレス帳の内容が第三者から知られうる。
報道したメディアが、謝った、直った、良かった、みたいな感じになってるんだけど、現在進行形でおかしなことが起きてることについて総スルーしていて気持ち悪い。これは実装上のミスだろうから、アドレス帳を送っている件と直接は関係がない。なんだけど「We always transmit this and any other information you share on Path to our servers over an encrypted connection. It is also stored securely on our servers using industry standard firewall technology.」証明書エラーを無視していて盗聴可能であるのに、暗号化された接続と言ってしまっている。理解されやすい表層的な部分ばかり取り上げられて、本気で技術的におかしなことが起きていてもスルーされてしまう。
そもそも、これは「セキュリティ専門家」が「特殊なツールを使って」解析しないと分からないようなことだったのか?俺にはそんな風に思えない。本当にこっそり送っているのなら、分からないだろうけど、Pathってそういうケースではないよね。登録後に、特に何もしなくてもアドレス帳内からPathを使っている友人の一覧が推薦されたのを多くのユーザーが目にしてきたはずだ。人々はそれを受け入れてきたのか?仕方ないと思ってきたのか?不愉快だけどフィードバックされて来なかったのか?それとも謎の仕組みでサーバーにアドレス帳を送信せずに友人候補を出していると思っていたのか?
ここらへんの問題については長くなるのでそのうち書こうと思う。
