« 小谷野の粘り、G選手も参考にして欲しいものです | トップページ | 傷害事件で本名と会社名、住所の公開は分かるけど »

2011/05/21

今時平文でパスワードを交換するようなプロトコル使わないでしょ?

え"?
【レポート】Androidユーザーの99.7%に影響? - 認証プロセスを乗っ取る脆弱性が報告 | 携帯 | マイコミジャーナル

【レポート】Androidユーザーの99.7%に影響? - 認証プロセスを乗っ取る脆弱性が報告 | 携帯 | マイコミジャーナル

 2011/05/19 Junya Suzuki

Androidの認証情報を盗み取ることで、ユーザーの個人情報を自由に盗み見ることが可能になる脆弱性が存在すると、ある研究者らは警告している。それによれば、カレンダーやコンタクトなどのAndorid標準アプリが認証を行う際に発行するトークンが暗号化されない状態で送受信されており、これを盗むことでGoogleサービスへの出入りが自由になるという。対策が施されているのはAndroid 2.3.4以降のバージョンであり、結果的にAndroidユーザーの99.7%が同種の被害に遭う可能性があるという。

同件を報告しているのはドイツのウルム大学の研究者らだ。それによれば、Google CalendarやContactsといったAndroidアプリでは、ClientLoginという仕組みを使ってGoogleサービスへのアクセスを行っている。通常であれば、このClientLoginにおける認証トークンはhttpsによる暗号化通信で送受信されるが、もしhttpによる暗号化なしの状態でやり取りが行われた場合、その通信内容が第三者によって読まれる可能性が出てくる。例えば公共のホットスポットなど、httpの通信で特定のサービスへとアクセスした場合、攻撃者が情報を読むのは比較的容易だ。研究者らが盗んだ状態のトークンを使ってGoogleサービスへのアクセスを試みたところ、トークンの期限が切れる2週間にわたって問題なく前述のカレンダーのような個人情報を読むことが可能だったという。

そこでさらに踏み込んで、Android 2.1、Android 2.2、Android 2.2.1、Android 2.3.3、Android 2.3.4、Android 3.0の各バージョンと、Calendarアプリ、Contactsアプリ、GalleryアプリのPicasa Syncの間で暗号化通信の状況を調べたところ、2.3.3以前のプラットフォームはすべてhttpによるセッション通信が行われており、暗号化はされていなかった。2.3.4と3.0ではhttpsによる暗号化通信が行われていたという。GalleryアプリのPicasa同期機能は2.3.3以降のバージョンで対応したものだが、2.3.3では前述の通りセッションの暗号化は行われておらず、2.3.4においてもPicasaについては暗号化による認証は行われていなかったという。現状でAndroid 2.3.4はGoogleのNexusシリーズなどごく限られた端末にしか提供されておらず、事実上アップデートでは対応できない。

研究者らが対応策として提示しているのは、とりあえず暗号化の行われていない無線LAN環境への接続を控えること、そして上記アプリでの自動同期を切るなどの対策だ。Googleでは、Google Docs APIなどすでに一部のサービスAPIでのhttps認証を必須事項としており、この種のアクセスにおけるリスクは今後減る見込みだ。またGoogle側の緊急対策として認証トークンの期限を短くする、サービス側ではoAuthなどの別の認証手段を用いることでリスクを軽減することなどを挙げている。またGalleryアプリの開発はGoogleではないため、この問題を認識していなかった可能性を指摘している。


パスワードに相当するものを平文となるHTTPでやりとりとか…。それを2週間も保持したままとか…。

大丈夫かね?端末メーカーはバーウプの対応できるの?っていうか、するしか無いんですけどね。

Android - Wikipedia

GBでも安心出来ない、と。ということは、ほぼすべてのアンドロイド端末が危険、と。よかった、ガラケーユーザーでw

しかし、オープンゆえの危険性というのは回避できないんですかね。

浜の砂子は尽きるとも、世に盗人は尽きることはなし

という有名な文句がありますが、盗人だけではなく「悪人」ですかね。
 


↓好奇心とも言えるのでは?と思う人は、ポチっとお願いします m(_ _)m

|

« 小谷野の粘り、G選手も参考にして欲しいものです | トップページ | 傷害事件で本名と会社名、住所の公開は分かるけど »

パソコン・インターネット」カテゴリの記事

携帯・デジカメ」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: 今時平文でパスワードを交換するようなプロトコル使わないでしょ?:

« 小谷野の粘り、G選手も参考にして欲しいものです | トップページ | 傷害事件で本名と会社名、住所の公開は分かるけど »