au の F001 に存在した EZ 番号詐称の脆弱性について - co3k.org
このエントリでは、海老原が 11/11 に発見した、「F001 の PC サイトビューアを利用して EZ 番号の作業がおこなえる」という脆弱性について説明します。 この脆弱性を利用されると、たとえば、「かんたんログイン」などの機能を提供する勝手サイトにおいて、 au 端末を利用したユーザになりすまされてしまうといった被害が発生しえます。 本問題の解決に向けてご協力いただいた 徳丸さんのブログエントリ にも詳しく触れられていますのでそちらもご一読ください。 おさらい 徳丸浩さんの以下のエントリで説明されているとおり、 au の 2011 年秋冬モデルの端末でおこなわれる(と宣言されている)変更が、「かんたんログイン」等の用途で使われている EZ 番号の詐称を許す可能性があるのではないかと多くの方々の間で懸念されていました。 IPアドレスについてはKDDI au: 技術情報 > IPアドレス帯
PC横に置いたiPhoneをキーロガーに、ジョージア工科大学の研究成果が話題に | 携帯 | マイコミジャーナル
ジョージア工科大学(Georgia Tech)助教授のPatrick Traynor氏と、スパイ行為が可能なキーロガー装置になった「(sp)iPhone」 米ジョージア工科大学(Georgia Institute of Technology: Georgia Tech)の研究チームらが、PCのそばにあるデスク上に置いたiPhoneの加速度センサーを使って、そのPCのキーボードで入力された文字を8割以上の高精度で判別する技術を開発したと、同大学が10月18日(現地時間)に発表した。スパイ道具に変身したiPhoneということで「(sp)iPhone」の名称を冠されたこの装置を使うことで、ウイルスを使ってキーロガーを仕込まずとも、ソーシャルエンジニアリング的な手法でより用意にスパイ活動が可能になるわけだ。 同件についての公式リリースはGeorgia Techのページで確認できる。同大学助教授のP
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
EZwebゲートウェイが更改される話 | 無線にゃん
http://blog.rocaz.net/2011/06/1207.html えーと、まぁ余り取り上げたくない、ちょっとアレなUID危険論サイトなんですけど、auのEZとPCサイトビューアのIPが統一されるという話で「もうダメだ」と展開している件について、「どこまでダメになるんでしょうか」と言う質問をいただきました。 この中で、まぁ前からこの人が主張しているのは「今のUIDを有効に保っているのは『脆弱な』3条件」と三つを上げていますが、いや、その三つをこそ、ケータイキャリアは死ぬ気で守ってるんですよね。決して『脆弱な』なんて形容詞をつけてよいような甘い体制ではないです、私の知る限り。はっきりいってあの辺の仕組みを守るために各事業者が(超関係者外秘情報につき省略されました) と言うことで、端末もコンテンツも厳しい審査の上に展開されることで脆弱な3条件を守っています。逆にいえば、審査を通って
auのEZWebがそろそろ終了しそうな件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 先日auからEZWebに関わる以下のようなアナウンスがなされた。 KDDI au: EZfactory EZブラウザは、2011年秋冬モデルにて、EZサーバを含め、「機能」及び「ネットワーク環境」の見直しを行ないます。 これによる主な変更点は以下のとおりです。 <主な変更点> ・EZサーバの言語変換機能が削除され、HDMLが非サポートとなる。 ・EZブラウザ、PCサイトビューアーのIPアドレス帯域が統一される。 他にもCookie仕様の変更などがあるのだが注目すべきは、「EZブラウザとPCサイ
EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点 - ockeghem's blog
au/KDDIの技術情報サイトEZfactoryには、2011年秋冬モデル以降にEZwebの仕様変更がある旨表示されています。セキュリティ上の問題の可能性もあるため以下に報告します。 EZfactoryトップページでの告知内容 EZfactoryトップページには、2011年秋冬モデルでの変更を以下のように要約しています。 ※お知らせ※ EZブラウザは、2011年秋冬モデルにて、EZサーバを含め、「機能」及び「ネットワーク環境」の見直しを行ないます。 これによる主な変更点は以下のとおりです。 <主な変更点> ・EZサーバの言語変換機能が削除され、HDMLが非サポートとなる。 ・EZブラウザ、PCサイトビューアーのIPアドレス帯域が統一される。 今後EZブラウザ向けコンテンツを作成する場合は、XHTML Basicを推奨します。 http://www.au.kddi.com/ezfactory
KDDI au、EZ 番号は詐称可能なため、複数手段の認証を推奨 | スラド セキュリティ
こちらのつぶやきで知ったが、KDDI の技術情報によれば、au 携帯における「EZ 番号はスマートフォン等では詐称可能なため、ユーザー認証に用いる場合には、EZ 番号と併せて EZ サーバの IP アドレス等、複数手段で確認してください」という文章が追加されたようだ。詐称可能と公表するなら、ユーザー認証には使わないことを推奨した方がいいかと思うのだが、如何なものだろうか。
実は厄介、ケータイWebのセッション管理
実は厄介、ケータイWebのセッション管理:再考・ケータイWebのセキュリティ(3)(1/3 ページ) “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 「Cookieを使えない端末」でセッションを管理する方法は? 第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。 今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション(ケータイWeb)のセッション管理は、かんたんログインよりも対策が難しく、厄介な問
携帯フィルタリングのカテゴリ分類情報サイト|ネットスター株式会社
ネットスターのURLリストを利用している携帯電話のフィルタリングサービスで、アクセスしようと思っているサイトやあなたが運営に関わっているサイトについて、「カテゴリ分類がおかしいのでは?」「子どもに見せたくないアダルトサイトだと思うけどカテゴリ分類されていないようだ」など、カテゴリ分類に不備や不足などを見つけた場合は、ぜひネットスターにお知らせください。 なお、迷惑メールに関してはこちらの専用窓口をご覧ください。
高木浩光@自宅の日記 - かんたんログイン方式で漏洩事故が発生
■ かんたんログイン方式で漏洩事故が発生 ガラケーからiPhoneに乗り換えた人々が「ガラケーサイトが見れない!!」とご不満らしいという話は、聞いたことがあったし、そういう方々向けに「ガラケーサイトを閲覧できる」と謳うスマホ用の専用ソフトが提供されたというのも、どこかで見た記憶があった。 そんな10月9日の夜遅く、ある方から、「iPhone用のSBrowserというアプリで、クロネコヤマトのサイトを使ったら、知らない人の個人情報が出てきてびっくりした。どうしたらいいか」という相談が舞い込んできた。 早速、iTunes Appストアで「SBrowser」の商品説明ページを見に行ったところ、数々の雑言レビューが付いており(図1)、この種のアプリの需要とユーザ層が見えた。
高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
OpenPNE 3.5.3 での「かんたんログイン」の端末固有IDからの(部分的)脱却で困った点 - co3k.org
(個人ブログなので「携帯電話個体識別番号」ではなく「端末固有 ID」と呼ぶよ) ということで、 OpenPNE 3.5.3 でおこなった「かんたんログイン」の変更について http://www.openpne.jp/archives/5070/ の件です。 ここで説明されているのは(技術者には既知である事項の説明を除くと)、要するに以下のようなことです。 Cookie 内のランダムな ID を見る認証手段を用意したよ Cookie が使える端末では端末固有 ID ではなく Cookie 内の ID を見て「かんたんログイン」するようにしたよ 認証手段を「A: Cookie 内 ID のみ」「C: 端末固有 ID のみ」「B: A と B を併用」できるようにしたよ(see: http://twitter.com/co3k/status/15973375832 ) B の方法を選んだ場合は、
OpenPNE 3.5.3 でおこなった「かんたんログイン」の変更について|OpenPNE
OpenPNE 開発チームの海老原です。 OpenPNE 3.5.3 リリースのお知らせ http://www.openpne.jp/archives/5068/ にて、開発版 OpenPNE 3.5.3 に「かんたんログイン」機能に対して変更をおこなったことについて触れましたが、このエントリではその詳細について説明いたします。 目次 そもそも「かんたんログイン」とは 「かんたんログイン」の問題点 今回の OpenPNE の対応について 認証に使用している ID について OpenPNE ではログイン以外の用途で携帯電話個体識別番号を使用しているか SNS 運営者様へ 携帯サイトおよび携帯サイト向けソフトウェアの開発者様へ そもそも「かんたんログイン」とは 「かんたんログイン」とは、携帯電話の端末固有 ID (OpenPNE では「携帯電話個体識別番号」と呼称しています) を使用したログイ
位置ゲーの位置詐称対策で検討すべき事
OHTSUKA Ko-hei @kokogiko @niryuu 後者の前提で一般的な話をすると、結局ケータイでの位置取得はGET/POSTでの経緯度通知にすぎないので、ユーザが嘘情報を流し込むと詐称されてしまいます。なので、確実に自分達のリンクから来たと検証する手段か、GET/POSTの送付先を知られないための隠蔽手段が必要。 OHTSUKA Ko-hei @kokogiko 前者の場合、Cookieに1回限りの使い捨てセッション埋め込んだり、Refererをチェックしたりで防げます。最近はCookieやRefererに対応したケータイが主流になってきたので、古い(と言っても意外と最近までですが)DoCoMoケータイを無視するならこれが一番簡単かと。
【レポート】"かんたんログイン"のセキュリティ問題とは何なのか? - WASForum 2010 (1) 「かんたんログイン」で指摘される問題性 | ネット | マイコミジャーナル
Webアプリのセキュリティを検討する「Webアプリケーションセキュリティフォーラム(WASForum)」が5月22日、認証と認可に関するイベントを開催した。その中で携帯電話の「かんたんログイン」のセキュリティに関して講演が行われた。 WASFは、もともとPCの一般的なインターネットのセキュリティを対象にしていたが、昨今のスマートフォンの流行などで携帯電話からも通常のインターネットが頻繁に利用されるようになったことから、今回のような考察が行われたという。 かんたんログインに関して講演をしたのは、HASHコンサルティングの徳丸浩氏と、産業技術総合研究所(産総研)の高木浩光氏。 パンドラの箱を開いたキャリア 携帯電話のWebサイト(携帯Web)で一般的に利用される「かんたんログイン」は、iモード(NTTドコモ)やEZweb(au)、Yahoo!ケータイ(ソフトバンクモバイル)で利用されているログ
WASForum Conference 2010: どうするケータイ認証 | 水無月ばけらのえび日記
公開: 2010年5月31日0時45分頃 WASForum Conference 2010、ソフトバンクの脆弱性の話に続き、産総研の高木浩光さんによる「どうするケータイ認証」。 ケータイWebの世界従来、WASForumではあまり扱ってこなかった分野。その理由は…… 独自方式、仕様が明確でないNDAの壁 (特に公式サイト)契約で縛った独自世界なら、キャリアが責任を持つべき。部外者は何かを言うべき立場にないしかし、昨今では…… ケータイ独自方式が一般サイトにまで侵出2008.3 iモードIDがスタートスマートフォン対応の活発化 ログイン認証の欠陥ID (契約者固有ID) による認証を JavaScript + DNS Rebinding で突破される問題海外ではあまり問題にならないDNS Rebindingという手法は古くから知られていたのだが、そんな認証は日本でしか使われていないため、海外
WASForum Conference 2010: ケータイ2.0が開けてしまったパンドラの箱 | 水無月ばけらのえび日記
公開: 2010年5月30日16時40分頃 WASForum Conference 2010。OpenIDのお話の後は、昼休みを挟んで午後のセッションです。午後の一発目は、HASHコンサルティングの徳丸浩さんによる「ケータイ2.0が開けてしまったパンドラの箱」。実はこのセッション、事前に「未公表のネタ2件を発表する (twitter.com)」と宣言されていました。未公表の脆弱性が複数公開されるのではないか……と、期待と不安が高まります。 各サービスのかんたんログイン機能はてな …… 「かんたんログイン」ありライブドア …… 「クイックログイン」ありmixi …… 「かんたんログイン」ありブラウザ三国志 …… なんと、「かんたんログイン」のみ。むしろ潔い?Twitter …… かんたんログインあり。このサービスは、端末が3台あれば3台ともかんたんログインできるように頑張っている。Remem
Utilz: 携帯識別
User-Agent ユーザーが「携帯電話製造番号通知」確認画面でYESを選択すると、User-Agentに "ser***********" 形式で製造番号が付加されます。 DoCoMo/1.0/P503i/c10/ser*********** FOMA端末製造番号(DoCoMo FOMA) 携帯端末の製造番号です。同一ユーザーでも端末買い増しをしているユーザーがUIMカードを別端末に入れ替えることで異なる値になります。Movaと同様に毎回確認画面が表示されます。 取得方法 Movaと同じです。XHTMLの場合は以下のようにします。 User-Agent User-Agentに "serXXXXXXXXXXXXXXX" 形式で製造番号が付加されます。同時にFOMAカード製造番号も付加されます。 DoCoMo/2.0 P902i(c100;TB;W24H12;serXXXXXXXXXXX
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
mala on Twitter: "冗談みたいな話ですけど旧バージョンのjQuery mobile使ってるサイト問答無用でXSSありますよ http://bit.ly/lJPoq8 http://bit.ly/kGIAxp http://bit.ly/m26TH1"
ソフトバンク端末100機種以上にJavaScript関連の不具合