セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
HASHコンサルティング株式会社 公開日:2009年11月24日 追記日:2010年1月21日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding(DNSリバインディング)問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景 携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送出される。現在、iモ
Post by @ivarnjk
iモード(2.0端末)利用者は,かんたんログインに関する脆弱性の責任の所在をNTTドコモが明言するまで,(そして対策がなされるまで)JavaScriptの無効化をして利用するのを勧めるのだ。 “NTTドコモでは、公式サイトを運営する約3000社には注意喚起したが、それ以外の無数にある「勝手サイト」には「ジャバスクリプトの安全な利用はサイトを作る側にとって基本的知識であり、具体的に説明はしていない」という。”“高木浩光主任研究員は、「利用者IDがあらゆる携帯サイトに自動で送られ、認証に使われる仕組みは問題だ」と指摘している。”
asahi.com(朝日新聞社):ドコモ新携帯、不具合あった新機能削除し発売へ - ビジネス・経済
NTTドコモは28日、夏商戦向けの新携帯端末13機種について、地図を滑らかに映し出す新機能を削除したうえで売り出すと発表した。新機能の基になるソフトウエアが原因で、iモード接続時に正しく動作しないトラブルが続出しているため。発売直後のつまずきで、ドコモの夏商戦の出遅れは必至だ。 ドコモは、今月発売のPRIMEシリーズの2機種で不具合が相次いで見つかり、販売停止となったことから詳しい原因を分析。同社が開発した新機能「ジャバスクリプト」が不具合の根源であることが判明したという。 このため、NEC、パナソニック、富士通、シャープ製の計13機種について、新機能をいったん停止して発売することにした。約1カ月後にドコモ側でシステムを更新すれば、手続きなしで新機能が利用できるようになる見通し。ドコモはトラブルを踏まえて、発売前の検査態勢を見直す方針。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
