AppLogSDKの脆弱性に関する報告

AppLogSDKの脆弱性に関する報告 2011年10月12日 株式会社ミログ 株式会社ミログ（以下、弊社）が提供している AppLogSDK の脆弱性のご指摘に関してご報告申し上げます。 ■ 脆弱性指摘の概要 現在 AppLogSDK につきましては、弊社サーバのとの通信内容を SSL(Secure Sockets Layer) を用いて暗号化しております。しかしながら、SSL の通信内容についてどのようなパラメーターで弊社サーバとの通信が行なわれているかが解析され、不正に第三者のAndroid端末に対して AppLog 送信の許可を行なう事ができるのではないかとの指摘を頂いております。 ご指摘を頂いた内容に関しましては、第三者から不正に AppLog 送信の許可フラグを操作される事も想定し、IPアドレスの監視を用いて不正検知を行うよう準備は進めておりましたが、指摘の通り第三者

[ockeghem]

通常、通信方式が第三者に分かっても問題ないはずなんだけど、それが問題になるということはヤマシイ内容をやりとりしているからなのだろうか

[tukanana]

そもそも問題にされている内容と話がすり替えられてるな。んなもんに引っかかるかいな。

[MinazukiBakera]

なんだこれ。SSLがどうこうという問題じゃないし、「IPアドレスの監視」とかおそらく無意味。

[americanboss]

ミログ社＆AppLog他感想：情報のトロール漁法を画期的っぽいと言って、新しいことやってます開発者の味方で応援してくださいと言って金と関心を集めるだけ集めてるけど、中身はバカと詐欺師と無能の集まりでした、マル

[miki3k]

セキュリティ上の問題点は修正します。通信内容を暗号化し、安全・安心に、端末の情報を弊社に送信するから大丈夫です。/ え？

[YAK]

SSLは初めてか？力抜けよ。

[solidstatesociety]

弊社は主犯なので第三者ではありません。ご安心ください。