CVE-2018-0691 プラスメッセージにおける証明書検証不備について · GitHub

CVE-2018-0691.md CVE-2018-0691 プラスメッセージにおける証明書検証不備について https://jvn.jp/jp/JVN37288228/ 平日の業務時間内に見つけた問題である関係で(自分ルールで)所属を入れていますが、他社サービスに対する調査や報告は業務とは一切関係のない個人の活動として行っています。 文責はmala個人にあります。お問い合わせなどありましたら個人宛にどうぞ。TwitterのDMや任意の文字列 @ma.la 概要 2018-06-21 に脆弱性の報告を行い 2018-06-27 に修正版が公開されたプラスメッセージについて、2018-09-27 に情報開示が行われているので、経緯について書きます。 タイムライン 2018-06-21 11:44 プラスメッセージのiOS版が公開されたと聞いてインストールする 2018-06-21 12:54

[nezuku]

MNO3社いずれのCSIRTの応答の早さと対応具合は、インフラを支える巨大会社の本気と真剣さが / あと.emlファイルに対するIPAの方の反応にそう慎重さが必要な機関であることを垣間見る

[daruyanagi]

“特に最短3分で返信をくれるSoftbank CSIRTには最大限の敬意を表します。”

[YarmUI]

検証開始7分で脆弱性発見、報告後3分で返信 スピーディー過ぎる

[pero_pero]

このアイコン懐かしい

[gomer-pyle]

このギラついたサムネは何なんだw

[sora_h]

mitmproxy入れて覗こうとしたら何もせずとも証明書検証不備がみつかっちゃってそれ以前の問題だったって話だろうか(おもしろすぎる)

[halfrack]

“特に最短3分で返信をくれるSoftbank CSIRTには最大限の敬意を表します。”

[fashi]

emlってRFCだけど拡張子は定義されてないんだな

[uxoru]

アイコン画像を見て反応するはてな古参ユーザー

[hylom]

電話番号のやり取りがされていないかを検証する課程で見つかったのか。セキュリティクラスタ強い。

[ya--mada]

なるほど、単に気がついたと言うのと、報告方法を知っていると言うことね。

[bps_tomoya]

出会って7分で脆弱性発見

[laiso]

"調査した結果の結論としては、プラスメッセージを利用しているかどうかの判別は、サーバーに対して連絡先の電話番号を送信することで行っていた。"

[hazeblog]

すごい

[mikage014]

"特に最短3分で返信をくれるSoftbank CSIRTには最大限の敬意を表します"

[penman]

psirtとしての活動になると思うけど、こういう対応が全てのエンタープライズの製品製造組織で実施することの困難さも物語るように感じる

[t_f_m]

＋メッセージ（プラスメッセージ）の脆弱性のヤツ

[onesplat]

LINEの社員が競合アプリの脆弱性見つけて教えてあげるという奇妙な構図になっとるな

[kote2kote2]

サムネの牛魔王みたいなオッサンどこ？

[cad-san]

プロ達の仕事だ

[hase0510]

malaさんのアイコンは昔からこれっすね＞ギラついたサムネ

[pmakino]

検証開始から7分で脆弱性発見…さすがとしか言い様がない

[b-wind]

“特に最短3分で返信をくれるSoftbank CSIRTには最大限の敬意を表します”

[lovelymakichin]

mala氏はLINEの人なんだ。すごっ

[amemiyashiro]

IPAはセミナー予約しようとすると「添付ファイル付きのメールは破棄する」と注意たりするし。それくらいの運用が必要なのかも、と思いを馳せるけど。

[cartman0]

時間帯によるんだろうけど凄い

[rin51]

「タイムライン」のSoftbank CSIRT宛の報告から返信まで30分弱で来るのすごい

[dollarss]

emlファイルについてはバイナリエディタでヘッダ見てやればTextとわかるからviewすりゃ手間省けた気もするが、画一ルールなのかもしれないなと思った。

[solidstatesociety]

お仕事がスピーディー