スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

1月21~23日のtwitterセキュリティクラスタ

楽天銀行アプリの脆弱性について。スマートフォンのアプリってなんだかいい加減みたいなので今のところ支払いとかには使いたくないですね。
rocaz: 楽天銀行アプリのプロトコル解析ようやく着手。で結論から言うと、クイックログイン時に思いっきりUDID送ってるじゃ無いかよ、どういうことだ。結局嘘だったのか。SSLで守られてるから分かりっこないと踏んでたのかも知れないけど、せっかくだからこれ全プロトコル調べてあげて公表しようかな

rocaz: SSLでも頑張れば何とでも解析できるんだな。いい勉強になった。隠し通せるものなど何もないと言うことだ

rocaz: まる半日かかりっきりだった。疲れた・・。後はのんびりやります。。

rocaz: ブログ書きました: 続: 楽天銀行アプリのセキュリティについて ? プロトコルを解析してみた http://goo.gl/fb/TPqog

rocaz: UDIDを送っているタイミングは2回。初期のログイン時と、クイックログイン時には毎回送る

rocaz: クイックログインはクイックログイン設定時にサーバーで発行した固有トークンあたりとパスを送っているのかと思ったらそうじゃなかった。支店番号と口座番号、パスにUDIDを送っている。つまりどうもアプリから一方的に送られた支店・口座・パスワードをそのまま信じて認証してるように見えるのだ

rocaz: クイックログインの箇所抜粋 VER=1_0_2&CMD=SMP_CMD_0005&CID=SMP_CID_0005& TKN=1e499034eaa3ac81231ec6a4accfcd35&BCHNO=支店番号&ACNO=口座番号& PASSWD=XXXX&UDID=f1…25



@rocazさんの調査にたかぎせんせいも興味津々です。
HiromitsuTakagi: .@rocaz ちょそれ脆弱性!! > 「当初SSLだからと諦めかけていたのだが、パケットキャプチャで仕様を明白にすることにした…恐らく専門家であれば常識的な方法だろう。所謂MIM手法である」< それ、楽天銀行アプリのSSL実装がサーバ証明書の検証を怠ってるってこと。私も…

HiromitsuTakagi: .@rocaz …私も念のため駄目元でそれやってみるかなと思いましたが、まさか今どき本当にそうとは。5年前には、PCアプリのSSL実装でそういうのをいくつか見かけました(例えば古いバージョンのEdy Viewer等)が、iOSアプリも怪しいものが多い可能性が大なのかな。

HiromitsuTakagi: .@rocaz MITMするときに、アプリは警告を出しましたか?(出したなら、まあ、脆弱性とまでは言えない。良くはないがiOS側が悪い。)ちなみに、初期の NAVITIMEアプリは、この方法で解析できませんでした。警告ダイアログなしにSSLが繋がりませんでした。(これが正しい。)

rocaz: @HiromitsuTakagi 最初ミスってた可能性があり出てたかもですが、最終的には出なくなりました。どうもCNしか見てない気がします(付属してくるFakeCertではエラーだったので)

rocaz: @HiromitsuTakagi あ、因みにCA証明書は端末にインストールして信頼している状態です。なのでトラストチェーンは正しい

rocaz: @HiromitsuTakagi 僕も存在は知っていたのですが使い方に気付いていませんでした。iPhone構成ユーティリティというソフトで、企業向けにiPhoneを配布する際に企業内CAcertをあらかじめインストールするのに使われるようですね

rocaz: @HiromitsuTakagi 僕もちょっとした疑問があったのですが、今回のように仮にトラストチェーンが正しくても、一般的にはCNチェックぐらいでいいものでしょうか。ハッシュ値チェックまですれば完璧でしょうが、リニューアルの時に困ったりしますけどね



そして、iOSアプリやAndroidアプリのSSL利用についての疑問が。
HiromitsuTakagi: iOSアプリでSSL利用はどういうAPIになってるんだろ。サーバ証明書検証はフレームワーク側で強制的にやってるだろうと思ってたが、違うのか。アプリ側で何か呼び出さないといけないのかな。SSLを直接使わずにHTTPアクセスのAPIを使えば、https:// のときはフレームワーク…

typex20: 普通はプログラム側で検証しないように指示することもできますよ。Androidはできます。RT @HiromitsuTakagi: iOSアプリでSSL利用はどういうAPIになってるんだろ。サーバ証明書検証はフレームワーク側で強制的にやってるだろうと思ってたが、違うのか。

HiromitsuTakagi: …フレームワークが強制的にサーバ証明書検証しそうだが、もしかして警告ダイアログが出る(不正な証明書の場合に)のか? 万が一、そのAPIで不正な証明書で警告ダイアログなしに繋がってしまうなら、iOSアプリの大半が全滅という大惨事なわけだが。

HiromitsuTakagi: .@typex20 デフォルトはどちらになってます? コード断片で教えて頂けるとありがたいです。

HiromitsuTakagi: @typex20 それはSSLのAPIを使ったときですか、それともHTTPのAPIを使ったときですか、両方ですか。(iOSではなくAndroidの話ですか?)

typex20: @HiromitsuTakagi 手元にコードがないのでご呈示できないのですが、デフォルトでは警告が表示されます。Androidではその警告が表示されないようプログラム側で指示することができるんです。

typex20: @HiromitsuTakagi iPhone側は不勉強でして、これから確認していこうと思います。

typex20: @HiromitsuTakagi すいません。iOSではなくAndroidの話でした。確認しているのはhttpsを使用した時です。Androidでは端末内のroot証明書をユーザが自由に入れ替えられるので、そもそも意味がないと思います。

HiromitsuTakagi: .@typex20 「意味がない」というか、リバースエンジニアリングには活用できるということですね。(それ自体は脆弱性ではない。一般利用者はroot証明書を入れたりしない(してはいけない)ので。)

typex20: @HiromitsuTakagi いつも疑問に思っていたのですが、高木先生はiOSのセキュリティは話題にされますが、Androidのセキュリティについて取り上げられない理由が何かおありなのでしょうか?

typex20: 是非、Androidのセキュリティにもご興味を持って頂ければと思います。 RT @HiromitsuTakagi: @typex20 持ってないからです。

typex20: 高木先生へのinputは終わったみたいなのでよかったです。(^^; RT @HiromitsuTakagi: それはぜひとも。勉強させて頂きます。 RT “@eyasuyuki: Androidセキュリティ部「安全なAndroidアプリ開発の鉄則(仮)」をまとめて…”

rocaz: いいことだー。返す刀でiOSにも影響が伝わるといいなぁRT @HiromitsuTakagi: それはぜひとも。勉強させて頂きます。 RT @eyasuyuki: Androidセキュリティ部で「安全なAndroidアプリ開発の鉄則(仮)」をまとめているのですが、もう少し実例を…



そして、この怪しいアプリをリリースした楽天が第三者機関による安全性の検査しているということについて。第三者機関ってなによ。
HiromitsuTakagi: 楽天CERTは「リリースに際しては第三者機関による安全性の検査も実施している」と回答したそうだ http://t.co/URuwUZM が、それ聞いて一発で胡散臭いと思った。そもそも「第三者機関」というのは一般的にはある程度公的な検査機関を印象づける。CC認証でも取ったのかと。

HiromitsuTakagi: 去年くらいから情報セキュリティ事故起こした企業がリリースで「第三者機関に調査を依頼、報告を受けたので問題ない」などとぬかす事例が多発。どこの第三者機関だよ?と問い合わせてみると、単なる一民間セキュリティ企業の名前を胸を張って回答。アホかお前ら。優良誤認表示的欺瞞行為でしばかれろ。

HiromitsuTakagi: たとえば、ビックカメラの事件、「今般、第三者機関によるセキュリティ診断によりドットコムサイトの安全性が確認されましたので…再開させていただく予定」と発表していたので、電話して「第三者機関ってどこ?」と尋ねると、「セコムトラストシステムズ株式会社でございます」と胸を張って回答。…

HiromitsuTakagi: …「機関というのはどういう意味ですかね?」「あ、機関というのは組織ですね、私ども以外の第三者」「機関というのは公的なところを指す…」「そそ、そうですね言葉としてはちょっとあの、適正に欠いておりました、もうしわけございません」「これ問題あるんじゃないですか?」「あーそうですね」。



そして、他に気になったことをピックアップ。週末なのにいろいろありました。飲み会には行きたいです。

tessy_jp: 新年会のような忘年会?を企画しました(2/1) ま、単なる飲み会ですw http://d.hatena.ne.jp/tessy/20110121



hasegawayosuke: Chromeは文字エンコードを利用者が変更する術がないのがつらい。アドレスバーにjavascript打ち込んでを注入してもダメ。

hasegawayosuke: Google Chrome, chrome://about/gpu/ を表示させるといくつかのパラメータが文字化け。「使用可能」→「菴ソ逕ィ蜿ッ閭ス」とか「汎用 PnP モニター」→「豎守畑 PnP 繝「繝九ち繝シ」とか。


hide_sunohara: ご参照ください。『日本IBM、警察向け「IBM 犯罪情報分析ソリューション」を発表 | 経営 | マイコミジャーナル』 http://bit.ly/gIm0zf


ikepyon: kinectを使ったダンス認証の実装と言うテーマでw RT: @connect24h: 次のセキュリティもみじでは、kinectやりたいなぁ。セキュリティ関係ないけど。


hasegawayosuke: Oracle Security Summit 「SQLインジェクションやクロスサイトスクリプティングといった外部からの攻撃による個人情報漏洩事件も目立ちます。」 XSSで漏洩って皆無じゃないだろうけど…。 http://bit.ly/h52WVK


ntsuji: 経済産業省が標的型攻撃にあって約20台のPCがウイルスに感染していたニュースを母親に教えてもらいましたよ。 http://www.yomiuri.co.jp/national/news/20110122-OYT1T00006.htm


ockeghem: 佐名木本は、escapeshellargよりもescapeshellcmdを推奨しているね

ockeghem: 『escapeshellargは【中略】根拠はないがバグがありそうな感じである』<根拠がないことを堂々と表明する潔さがたまらない。曖昧なことは曖昧であるように書く、と。正しい。


rocaz: 面白い。読ませる文章 "NCSA httpdを作った人間が、ついでにつけたような機能。それがCGI" > ソースでわかるSixapart転落の歴史 http://j.mp/evH4vh


bulkneets: MDISプライバシーマーク一時停止リリースでてる http://bit.ly/hs2IRk


security_info: Podcast緊急特別企画「セキュリティのえらい人に聞いてみよう」 | dpost.jp: セキュリティのえらい人、辻さんに聞いてみた!ていうか雑談。頭にはちょっとだけディズニートークもあるよ。 http://bit.ly/dHq35K
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。