ドコモはiモードIDの生成方法を見直すべきだ へのコメント http://mpw.jp/blog/2009/11/207.html 携帯電話に関する技術的な話題など Wed, 10 Mar 2010 14:39:00 +0000 hourly 1 http://wordpress.org/?v=3.0.1 姫 より http://mpw.jp/blog/2009/11/207.html/comment-page-1#comment-120 Fri, 05 Feb 2010 20:10:43 +0000 http://mpw.jp/blog/?p=207#comment-120 もしかしてこれの被害事例でしょうか? http://nat-q.jp/ctg3/q_detail.php?no=10340 この脆弱性をつかって マイメニュー登録やiモード個別決済を ユーザのしらないところで行うことは出来ますか? (被害者のiモードパスワードが初期値の「0000」の場合という条件で) もしかしてこれの被害事例でしょうか?
http://nat-q.jp/ctg3/q_detail.php?no=10340

この脆弱性をつかって
マイメニュー登録やiモード個別決済を
ユーザのしらないところで行うことは出来ますか?
(被害者のiモードパスワードが初期値の「0000」の場合という条件で)

]]> mpw.jp管理人 より http://mpw.jp/blog/2009/11/207.html/comment-page-1#comment-96 mpw.jp管理人 Fri, 22 Jan 2010 17:09:27 +0000 http://mpw.jp/blog/?p=207#comment-96 > auサイトにはau端末、SBMサイトにはSBM端末を使って攻撃ということなのでしょうか? こちらになります。 > auサイトにはau端末、SBMサイトにはSBM端末を使って攻撃ということなのでしょうか?

こちらになります。

]]> 姫 より http://mpw.jp/blog/2009/11/207.html/comment-page-1#comment-95 Fri, 22 Jan 2010 06:54:51 +0000 http://mpw.jp/blog/?p=207#comment-95 >なお、「iモードID」だけではなく、「EZ番号」や「x-jphone-uid」のみでユーザー認証を行っている携帯サイトでも同様に攻撃可能です。 すいません auサイトやSBMサイトでも攻撃可能というのは iモード機を使っての攻撃という事なのでしょうか? それとも auサイトにはau端末、SBMサイトにはSBM端末を使って攻撃ということなのでしょうか? (auやSBMにも同じ脆弱性がある) 例えばauだと EZ番号を送信する必要があるわけでiモード機からEZ番号を送信することはないことから 後者だと判断していたのですが違うのでしょうか? >なお、「iモードID」だけではなく、「EZ番号」や「x-jphone-uid」のみでユーザー認証を行っている携帯サイトでも同様に攻撃可能です。

すいません
auサイトやSBMサイトでも攻撃可能というのは
iモード機を使っての攻撃という事なのでしょうか?

それとも
auサイトにはau端末、SBMサイトにはSBM端末を使って攻撃ということなのでしょうか?
(auやSBMにも同じ脆弱性がある)

例えばauだと
EZ番号を送信する必要があるわけでiモード機からEZ番号を送信することはないことから
後者だと判断していたのですが違うのでしょうか?

]]> nono より http://mpw.jp/blog/2009/11/207.html/comment-page-1#comment-38 nono Fri, 04 Dec 2009 16:58:23 +0000 http://mpw.jp/blog/?p=207#comment-38 関係ないのですがsoftbankでdocomoとAjaxのランキングが見れないので見れるようにお願いします。 関係ないのですがsoftbankでdocomoとAjaxのランキングが見れないので見れるようにお願いします。

]]> mpw.jp管理人 より http://mpw.jp/blog/2009/11/207.html/comment-page-1#comment-34 mpw.jp管理人 Sat, 28 Nov 2009 07:52:17 +0000 http://mpw.jp/blog/?p=207#comment-34 よく考えてみたら、ご指摘の通りでした。 iモードIDなどのユーザ識別子が、アクセス先の親ページのドメイン名ごとに一意に生成されるもの(例:ユーザ識別子 = hash("親ページのドメイン名"+"電話番号"))で無い限り、GETリクエストにiモードIDを載せるのを止めたとしても根本解決にはなりませんでした。 ご指摘ありがとうございます。 よく考えてみたら、ご指摘の通りでした。
iモードIDなどのユーザ識別子が、アクセス先の親ページのドメイン名ごとに一意に生成されるもの(例:ユーザ識別子 = hash(“親ページのドメイン名”+”電話番号”))で無い限り、GETリクエストにiモードIDを載せるのを止めたとしても根本解決にはなりませんでした。
ご指摘ありがとうございます。

]]> 徳丸浩 より http://mpw.jp/blog/2009/11/207.html/comment-page-1#comment-33 徳丸浩 Fri, 27 Nov 2009 22:55:25 +0000 http://mpw.jp/blog/?p=207#comment-33 これはアプリケーション側のCSRF脆弱性ですね。iモードIDを使ってなければただの「荒らし」ですが、iモードIDを使っている場合は端末認証されていると考えられるので、その端末認証にひもついた会員情報を勝手に登録されるという意味でCSRF脆弱性になります。 それに、iモードブラウザ2.0のJavaScriptを使えば、POSTでも攻撃可能です。 したがって、「ドコモはGETリクエストにiモードIDを載せるのを止めるべきだ」という主張は正確でないと思います。iモードIDそのものを廃止すべきだという意見であれば、納得できます。 また、そういうサイトが多そうというのは理解できますが、これはアプリケーション側で対策すべき問題です。 これはアプリケーション側のCSRF脆弱性ですね。iモードIDを使ってなければただの「荒らし」ですが、iモードIDを使っている場合は端末認証されていると考えられるので、その端末認証にひもついた会員情報を勝手に登録されるという意味でCSRF脆弱性になります。
それに、iモードブラウザ2.0のJavaScriptを使えば、POSTでも攻撃可能です。
したがって、「ドコモはGETリクエストにiモードIDを載せるのを止めるべきだ」という主張は正確でないと思います。iモードIDそのものを廃止すべきだという意見であれば、納得できます。
また、そういうサイトが多そうというのは理解できますが、これはアプリケーション側で対策すべき問題です。

]]>