新機能「チェックアイテム」は、まとめたつぶやきに関係する商品をカスタマイズできる機能です!詳しくはこちら

デコレーション機能に脆弱性が発見され対応が終わるまで画面に表示されないようにしています。
元のデータは消していませんのでご安心ください。
  • iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ
    お気に入り

    iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ 更新

    (2010/06/12) 結局UDID偽装が可能であったことが発覚しました
    iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ」 http://bit.ly/bp7MaT

    ソフトバンクの公式iPhoneアプリ「電波チェッカー」がiPhoneのUDID(固有端末番号)を送信している理由についての問い合わせをまとめてみました

    登場人物紹介:
    @miyakawa11 : 宮川潤一氏 / ソフトバンクモバイル 取締役専務執行役 CTO
    @HiromitsuTakagi : ひろみちゅ

    話の流れ:
    「UDID使う意味無くね?」→「これ以上はセキュリティに関することなのでお話しできない (キリッ」→ 外野「嘘つけ」

    まあ普通のエンジニアの感覚ではUDID以外に他の認証で守ってるとか無理だし、負けそうになったから話打ち切っただけだよね、これ

    【注記】
    もしかして変な誤解が広まると嫌だからまとめます。
    まず「SBMが内緒でUDIDを送信している」ということはありません。アプリの公式ページでも送信していることは明示されています(小っちゃいけど)。 http://mb.softbank.jp/mb/iphone/service/app/denpachecker/

    論点のポイントになりそうなのは、
    ・自分のポイントした箇所を確認できるということは、他人のUDIDを知ることが出来れば偽装したリクエストを送って他人の情報を知ることが簡単に出来てしまうのでは?という疑い(認証の脆弱性)
    ・キャリアであるSBMが利用者の位置情報と端末情報(場合によっては契約者情報まで紐付くかも知れないが現時点では不明)を一括して入手していることに対するプライバシー上の懸念
    ・そもそもこの目的であればUDIDではなく、契約者とは何をしても紐付かないようなランダムなIDで十分なのでは、という指摘
    ・「セキュリティ保護上詳細は申し上げられない」という今日び小学生でも言わない台詞をCTOが発言している残念感

    と個人的には理解しています。

    【関連追加】(2010/6/8)
    「電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件」 http://bit.ly/cP4jLz

    【追記】(2010/6/8)
    ということで宮川氏がメールサポートへ投げ出されてしまいましたので本件のTwitter上でのコミュニケーションは(多分)終了です。お疲れ様でした

    【追記】(2010/6/11)
    まだ続く限りは更新していきます

    【追記】(2010/06/11)
    大方の予想通り詰んだ模様です

    【追記】(2010/06/12)
    偽装可能発覚後の反応は別リストへまとめます
    rocaz 52 fav 9302 view 6/6 15:11
    このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク

お気に入りしたユーザ

まとめたtweet

  • 返信する RTする ふぁぼる

    @miyakawa11 電波チェッカーについてお尋ねします。UDIDを送信するとのことですが、UDIDは個人識別番号ですが、何の目的で使用しているのでしょうか。

    HiromitsuTakagi
    2010-06-03 21:08:15
  • 返信する RTする ふぁぼる

    @HiromitsuTakagi UDIDを取得するのは電波チェッカーで登録されたポイントをiPhoneで表示する為です。登録されたポイントはサーバーで保持され、エリア改善情報として反映致します。 #SBareakaizen

    miyakawa11
    2010-06-03 23:23:51
  • 返信する RTする ふぁぼる

    @miyakawa11 しかし、その目的であれば、アプリ初回起動時に乱数で十分に長い専用のIDを生成して、それを記憶し、次回以降そのIDを送信して使用すればよいのではないでしょうか。

    HiromitsuTakagi
    2010-06-03 23:51:18
  • 返信する RTする ふぁぼる

    @HiromitsuTakagi 確かにご指摘の方法もありますが、誤削除、リフレッシュ、トラブル等で再インストールが必要な事態が発生した時に過去の登録情報をそのまま利用出来ることを考慮してUDIDが有効と考え、この仕様にしました。 #SBareakaizen

    miyakawa11
    2010-06-04 00:54:41
  • 返信する RTする ふぁぼる

    @miyakawa11 再インストールを越えて同一人物による記録であることを識別できる必要があるのでしょうか。一方で、Appleはストアへのアプリ登録において、UDIDを使用する場合には利用者の個別同意確認をするよう求めているとのことですが、その趣旨をどのようにお考えでしょうか。

    HiromitsuTakagi
    2010-06-04 01:06:21
  • 返信する RTする ふぁぼる

    @HiromitsuTakagi 登録して頂いた情報を無駄にしない為、再ポイント登録がないよう配慮しました。インストール時の注意事項にUDID取得を記載しております。ご質問のAppleでの正式審査も当然通しております。個人情報に紐付く認証としての使用ではありません。

    miyakawa11
    2010-06-04 08:24:56
  • 返信する RTする ふぁぼる

    @miyakawa11 つまり、利用者が(再インストールしたとしても)過去の自分の登録情報を見られるようにしているということでしょうか。

    HiromitsuTakagi
    2010-06-04 09:21:41
  • 返信する RTする ふぁぼる

    @HiromitsuTakagi はい、その通りです。再インストールしても過去の登録情報を見れるようにしております。

    miyakawa11
    2010-06-04 11:39:52
  • 返信する RTする ふぁぼる

    @miyakawa11 そうしますと、任意のUDIDをサーバに送信するとサーバは登録情報を応答するということかと思いますが、それはつまり、他人のUDIDを用いてその人の位置情報履歴を閲覧できてしまうということではないでしょうか。重大なセキュリティ欠陥だと思います。

    HiromitsuTakagi
    2010-06-04 11:44:45
  • 返信する RTする ふぁぼる

    @HiromitsuTakagi 当然ながら単純にUDIDだけで情報を抽出している訳ではありません。詳細はセキュリティに関わることなのでこれ以上申し上げられないこと、話を切るようで心苦しいですが、何卒ご理解下さい。

    miyakawa11
    2010-06-04 15:53:49
  • 返信する RTする ふぁぼる

    @miyakawa11 UDIDだけではないと言っても、鍵付ハッシュで変換することくらいしかできず、その鍵はアプリ固有とせざるを得ないものです。再インストールで識別が継続するのですから。つまり、その鍵は誰にでも得られる値であって、他人のUDIDで位置情報を得られるということです。

    HiromitsuTakagi
    2010-06-04 18:14:28
  • 返信する RTする ふぁぼる

    プライバシーに関する配慮としてはいかがですか。御社は結果的に利用者の位置情報と契約者情報を結びつけて保持できるわけですが、それはそうした利便性よりも低い位置付けなのでしょうか RT @miyakawa11: @HiromitsuTakagi 登録して頂いた情報を無駄にしない為..

    rocaz
    2010-06-04 11:49:28
  • 返信する RTする ふぁぼる

    .@miyakawa11 詳細に話すことにセキュリティ上の問題があるような仕組みは、消費者としては使いたくないなぁ……

    jtcy_obzaiya
    2010-06-04 18:05:49
  • 返信する RTする ふぁぼる

    「公開できないようなセキュリティ設計は脆弱」というのは業界の常識なのですが RT @HiromitsuTakagi: RT @miyakawa11: ..単純にUDIDだけで情報を抽出している訳ではありません..セキュリティに関わることなのでこれ以上申し上げられない..

    rocaz
    2010-06-04 18:06:14
  • 返信する RTする ふぁぼる

    これはフラグ立ちましたって感じだなぁw 今のうちに落としとくか。 RT: @miyakawa11: @HiromitsuTakagi 当然ながら単純にUDIDだけで情報を抽出している訳ではありません。詳細はセキュリティに関わることなのでこれ以上申し上げられないこと、話を切るようで

    mizunon
    2010-06-04 18:10:16
  • 返信する RTする ふぁぼる

    @makotokaga 最悪でした、申し訳ないです。別件で手一杯でしたので話切ってしまいました。確かに横着ですね、すみません。但し、脆弱性対処については自信あり。その方法は企業情報なのでここに記載させるのは勘弁下さい。ご安心してご利用を。

    miyakawa11
    2010-06-07 17:49:16
  • 返信する RTする ふぁぼる

    @HiromitsuTakagi GPSで取得した位置情報の表示は緯度経度座標等の他人が位置特定できる情報はありません。サーバからの返却データは地図を含まない別レイヤおよび別データとして加工しており、セキュリティ及びパフォーマンスの向上の観点から独自技術で対応しております。

    miyakawa11
    2010-06-07 19:01:49
  • 返信する RTする ふぁぼる

    @miyakawa11 技術的に言っておっしゃることがよくわからないのですが、サーバが返す値がどんな加工形式の位置情報データであれ、「電波チェッカー」自身がそれを地図上に位置表示できるのですから、誰でも他人のUDIDから位置情報を得られるのは明らかです。

    HiromitsuTakagi
    2010-06-07 20:02:59
  • 返信する RTする ふぁぼる

    @HiromitsuTakagi 違うんですよ。

    miyakawa11
    2010-06-08 01:45:45
  • 返信する RTする ふぁぼる

    @makotokaga うーん、ご理解いただけませんでしょうかね?

    miyakawa11
    2010-06-08 01:46:28
  • 返信する RTする ふぁぼる

    @HiromitsuTakagi すみません、きちんと説明する責務はあるかとは思いますが、弊社も企業故、開発の中身までは本twitterでのやり取りでは公開しかねます。弊社来社戴ければ、NDAサインは戴きますが、中身の説明は真意致します。いかがでしょうか?

    miyakawa11
    2010-06-08 01:56:19
  • 返信する RTする ふぁぼる

    @miyakawa11 原理的に不可能なこと、それをやっているとおっしゃっているように聞こえるのすが、もしかしてUDIDの他に、iPhoneのMACアドレスないしシリアルナンバーを使用ているのでしょうか? 「電波チェッカー」の説明にはUDIDに関する記述しかないのですが。

    HiromitsuTakagi
    2010-06-08 18:27:09
  • 返信する RTする ふぁぼる

    @HiromitsuTakagi MACアドレス、シリアル番号は使用しておりません。GISに関わる情報です。twitter上での本回答は生理的に受入できませんので、下記のサポートメールにて御容赦戴けますか?denpacheckersupport@mb.softbank.co.jp

    miyakawa11
    2010-06-08 19:16:13
  • 返信する RTする ふぁぼる

    @miyakawa11 電波チェッカーについてお尋ねします。計測で記録した位置情報を削除したいのですが、1点ずつ選択し削除するボタンはあるものの、全部を削除する機能は用意されてないのでしょうか。UDIDで紐づいた位置情報が永久に残るのは避けたいのです。1個ずつ消すのはつらいです。

    HiromitsuTakagi
    2010-06-10 18:02:58
  • 返信する RTする ふぁぼる

    @miyakawa11 昨日お尋ねした「電波チェッカー」の削除機能の件の続きですが、屋外計測については、もしかして、まったく削除できないのでしょうか。

    HiromitsuTakagi
    2010-06-11 17:19:58

コメント

お勧めアイテムネタ商品を追加してまとめをもっと面白くしよう!今すぐ追加?

コメント

  • どう弄ってもUDID送ってる時点で脆弱性になりかねないよな⋯⋯。バレるとまずいUDIDってどーなん?ホント。

    juners
    2010-06-06 18:20:52

  • 高木浩光さんに「詳細はセキュリティ的な理由で言えない」と書いて逃げようとすると逆に徹底的に追いかけられる。という歴史があるから今後の盛り上がりに期待できる。

    otsune
    2010-06-06 20:14:55

  • 電波強度を計測するだけならUDIDじゃなくてただ単に位置情報を取得するだけで良さそうな気はするけども・・・

    Taka_miko
    2010-06-07 00:04:40

  • 高木先生に追求された時の正しい対応ガイドラインを誰か作った方がいいんじゃないだろうか。

    nishiyaman
    2010-06-07 02:00:42

  • UDIDって現物無いと取得できない情報なんでしょ?脆弱性がどうこう騒ぎ立てる程のものかなぁ。あとハッキングのヒントになるような情報を公開しないのは間違いではない。

    ninton23
    2010-06-07 15:11:14

  • |∀・)ノ またユーザーデータかき集めて名簿屋に売るんですねわかります  |∀・)ノ で事後にユーザー側に500円押し付けて帳消しのいつもの手順か

    kgntgr
    2010-06-08 12:54:32

  • twitterじゃなくて電話かなんかでやりゃいいのに。

    jizou
    2010-06-09 18:38:20

  • UDID偽装だけじゃ他人には取得できないとなると…Wi-Fiじゃなく3G接続じゃないといけないってとこがキモか? ところでどうでもいいけど、UDIDは個人識別じゃなく端末識別じゃね?

    tm_bonvo
    2010-06-11 12:33:12

  • 一部リストは別にまとめたリストへ移しました

    rocaz
    2010-06-12 05:20:24
  • コメントを投稿する

コメント

2010-06-06 15:11:07 rocaz さんが作成しました。
2010-06-07 19:51:36 rocaz さんが更新しました。
2010-06-07 23:28:39 rocaz さんが更新しました。
2010-06-08 18:39:12 rocaz さんが更新しました。
2010-06-08 19:17:34 rocaz さんが更新しました。
2010-06-11 20:48:36 rocaz さんが更新しました。
2010-06-11 21:46:33 rocaz さんが更新しました。
2010-06-11 21:59:24 rocaz さんが更新しました。
2010-06-11 22:09:22 rocaz さんが更新しました。
2010-06-12 05:16:07 rocaz さんが更新しました。

ブログパーツ


幅・高さの指定を変えることでサイズを変更できます。
またsrcの中の「bc=***」で背景色を変更できます。

プロフィール

rocaz rocaz
カスタム検索
togetter_jpをフォロー

注目のまとめリスト

iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ
『やりすぎコージーでフット岩尾が「ラブプラス」を紹介する』による風評被害
「国債を持てる男子は女性にモテる」財務省の広告に無理がありすぎて総ツッコミ
NHK教育「児童ポルノ根絶にむけて」 出演アグネス放送後、小説家の佐藤亜紀とライターの赤木智弘が衝突? #Agnes #jipo #childabuse #akisato
『Angel Beats!』第10話で西田亜沙子さんの堪忍袋の緒が切れました
バブル時代の田舎とオタクと援助交際という名の売春

最近追加された商品

ゲーム屋のお仕事―それでもゲーム業界を目指しますか?
「極」怖い話 甦怪(そかい) (竹書房文庫)
恐怖箱 十三 (竹書房文庫)
恐怖箱 蛇苺 (竹書房文庫 HO 51)
ダライアスバースト
戦争請負会社

最近ログインしたユーザ

Add to Google Subscribe with livedoor Reader