(2010/06/12) 結局UDID偽装が可能であったことが発覚しました
iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ」
http://bit.ly/bp7MaT
ソフトバンクの公式iPhoneアプリ「電波チェッカー」がiPhoneのUDID(固有端末番号)を送信している理由についての問い合わせをまとめてみました
登場人物紹介:
@miyakawa11 : 宮川潤一氏 / ソフトバンクモバイル 取締役専務執行役 CTO
@HiromitsuTakagi : ひろみちゅ
話の流れ:
「UDID使う意味無くね?」→「これ以上はセキュリティに関することなのでお話しできない (キリッ」→ 外野「嘘つけ」
まあ普通のエンジニアの感覚ではUDID以外に他の認証で守ってるとか無理だし、負けそうになったから話打ち切っただけだよね、これ
【注記】
もしかして変な誤解が広まると嫌だからまとめます。
まず「SBMが内緒でUDIDを送信している」ということはありません。アプリの公式ページでも送信していることは明示されています(小っちゃいけど)。
http://mb.softbank.jp/mb/iphone/service/app/denpachecker/
論点のポイントになりそうなのは、
・自分のポイントした箇所を確認できるということは、他人のUDIDを知ることが出来れば偽装したリクエストを送って他人の情報を知ることが簡単に出来てしまうのでは?という疑い(認証の脆弱性)
・キャリアであるSBMが利用者の位置情報と端末情報(場合によっては契約者情報まで紐付くかも知れないが現時点では不明)を一括して入手していることに対するプライバシー上の懸念
・そもそもこの目的であればUDIDではなく、契約者とは何をしても紐付かないようなランダムなIDで十分なのでは、という指摘
・「セキュリティ保護上詳細は申し上げられない」という今日び小学生でも言わない台詞をCTOが発言している残念感
と個人的には理解しています。
【関連追加】(2010/6/8)
「電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件」
http://bit.ly/cP4jLz
【追記】(2010/6/8)
ということで宮川氏がメールサポートへ投げ出されてしまいましたので本件のTwitter上でのコミュニケーションは(多分)終了です。お疲れ様でした
【追記】(2010/6/11)
まだ続く限りは更新していきます
【追記】(2010/06/11)
大方の予想通り詰んだ模様です
【追記】(2010/06/12)
偽装可能発覚後の反応は別リストへまとめます
どう弄ってもUDID送ってる時点で脆弱性になりかねないよな⋯⋯。バレるとまずいUDIDってどーなん?ホント。
juners
2010-06-06 18:20:52