パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ドコモのAndroid端末にプリインストールされるメディアプレイヤー、端末識別情報を送信する仕様に」記事へのコメント

  • この記事 [takagi-hiromitsu.jp]で

    (略)というわけで、ここまで「ケータイ脳」が業界に深く根ざしているとなると、今後も、iPhoneに限らずAndroid等においても、同様の設計ミスで脆弱性を作り込んでしまう事業者が出てくるだろう。(略)

    と危惧していた事が現実に起きたわけですしね。

    #そういえば端末固有IDを簡単ログインに使っていたせいで個人情報漏洩事故が発生したの、ちょうど1年前じゃなかったっけ。

    • by Anonymous Coward on 2011年10月20日 1時32分 (#2037183)

      User-agent や HTTP の勝手ヘッダに IMEI を入れるのは問題ではあるけど、それが「脆弱性を作りこんで」いるかというと、かなり微妙。

      とりあえず、みんなで偽IMEI付きUser-agent や偽IMEI入り勝手ヘッダを生成してアクセスしまくってやれば、そんな仕様には意味がなくなって変えざるを得なくなるのではないですかね。

      親コメント
      • とりあえず中古で所有者が変わる上に、ユーザーが任意に変更/クリアできない変数を使うセンスがアレという感じ。
        仕様を見た感じでも送信されないってパターンの記載が無いし、感じ的にWindows Media Playerとかの「一意のプレーヤー ID をコンテンツのプロバイダに送信する」が強制ON状態で固定。
        WMPは所詮アプリとしてしか固有IDを持ってないからOS再インストールでもすれば変わるという期待が取れる。(GUIDだし)

        脆弱性という観点で見るとIMEIの取得には本来「端末のステータスと ID の読み取り」という権限が必要だけど、持たないアプリやWebブラウザがこのメディアプレイヤーを使うことでAndroid OSが持つアクセス制御を回避してIMEIを容易に取得出来る。
        このアプリがアンインストールが出来ないROM領域に入れられた場合(ほぼそうなるだろう)、現行のAndroid OSでは「起動させない」という手法が取れない。(root化等した場合は除く)
        この状態で出荷された場合、マーケットで修正版が提供されるか、ROM領域のアプリを更新するファームウェアアップデートが有るまで第三者がIMEIを取得出来るという問題が残る。

        --
        誰も信じちゃいけない、裏切られるから。
        私を信じないで、貴方を裏切ってしまうから。
        親コメント
        • ユーザーが任意に変更/クリアできない変数

          定数と言うべきでは。

          親コメント
        • その後ストーリーのリンク先に有る仕様書が更新され、PlayReady®のライセンス取得を行う通信のみとの記述になり、また「ライセンス取得には、都度ユーザの許諾が必要」との事です。
          であればユーザー側で意図しないタイミングでの、相手へのIMEI送出に対する防御は可能なはずです。
          ただし、譲渡後どうなるのかは相変わらず気になる所ですし、相変わらず名寄せは可能なのが気になります。

          例えば、アンケートに答えて音楽プレゼント的なキャンペーンを複数回した場合、超時間経っても名寄せ可能ですからね。
          また、ライセンス取得動作で中間者攻撃が可能ならばやはり意味が無いのですが。

          --
          誰も信じちゃいけない、裏切られるから。
          私を信じないで、貴方を裏切ってしまうから。
          親コメント
        • by Anonymous Coward

          仮に、ドコモのプレーヤーがIMEIではなく、端末ごとに特有のドコモプレーヤーIDを持っていてそれを送っていたとします。それで問題は解消するでしょうか?ROM領域に入っているアプリが端末を特定できるIDを送信すれば、名寄せが可能になります。名寄せが可能になることを問題にするなら、取得できたIDで端末が特定できることが本質であって、そのIDがIMEIかどうかは問題に関係ありません。アクセス制御を迂回してIMEIを取得できたことが名寄せ問題を生んでいるのではないのです。

          IMEIが取得できることで名寄せ以外の脅威が発生するというなら、IMEIを取得できたことを脆弱性と言う主張も理解できますが、それは何でしょうか。

          • 仮に、ドコモのプレーヤーがIMEIではなく、端末ごとに特有のドコモプレーヤーIDを持っていてそれを送っていたとします。それで問題は解消するでしょうか?

            仰るとおり解決しないでしょう。端末固有の固定値である限り。
            諸悪の根源は親コメントの一行目に有る「ユーザーが任意に変更/クリアできない変数を使う」事なのですから。

            個人的には下記を満足して欲しいです。

            通知する範囲的には
            ・通信相手毎に異なる事(例えばホスト名ですが、レンタルサーバー等を考えれば粒度が荒すぎるのでURL全体等)
            →これで、名寄せに関する問題は有る程度解決できるでしょう。
            ・基本は通知しない事
            →必要であれば要求を画面に出すといった対応も出来たはずです。新規案件なのですし。
            ・通知するとしても、ホワイトリスト的運用が容易に出来る事
            →設定で例え通知有無が可能となっても、ON/OFFのみでは結局常時ONになりかねないです。「設定変えるのが面倒だし」とかで。

            時間軸的な観点から
            ・ユーザーが望みクリアした場合、必ず前回の値が推定出来ない事
            →これが出来なければ意味がありません。推定出来なくさせれば良いのですから「通知しない」も含みます。
            ・可能で有るならば、一定時間(例えばアプリ起動毎・OS起動毎・最長1時間等)で変化する事
            →長期間追跡する必要が無いのであれば、これで十分でしょう。
            今回のようなメディアプレイヤー自体が有る程度の期間内、同一コンテンツに決まった値を送るというのも「アリ」だと思います。
            送ることによってコンテンツ再生中に回線が途中で切断したり、用事(電話等)で再生中断したり、アプリが死んだ際でも、次回中断箇所から再生を続行が可能になりますから。
            # 普通はアプリ側が再生済み箇所を覚えていて途中から要求するべきでしょうから、この程度の事でやり取りすべきではないと思うけど。

            ユーザー利便性から
            ・該当アプリ(と、場合によってはセットとなる提供者)の世界で閉じて、外部に影響を与えない事
            →これで、最低限アプリのデータ削除で通信先のサーバーには残るが、他のアプリやデータ(メールとか)をそのまま使い続けたり、後日別情報が無ければ名寄せされず該当サービスの利用再開や譲渡が出来る。
            ・可能であるならユーザーIDといった真にユーザーと結びつく物で識別し、端末に依存しない事
            →例えば修理してIMEIが変わったり、アプリが保持していた値が消えたとしても同じサービスを継続して使い続けられる様に。

            IMEIが取得できることで名寄せ以外の脅威が発生するというなら、IMEIを取得できたことを脆弱性と言う主張も理解できますが、それは何でしょうか。

            例え現時点では名寄せ以外の脅威が無かったとしても、OSが持つセキュリティモデルを崩壊させているという点で脆弱性かと。
            「何故?」OSがアクセス権を要求する事で取得を制限していたのか。
            アプリ開発時に電話機自体や電話機の状態といった物のデータの属性が「個人に関する情報」であるという意識が抜けていた、若しくはアプリ開発側から「個人に関する情報」で有るからこんな仕様は認められないと拒否しなかったor出来なかったのも問題かもしれません。
            # 当然最初にこんなプロトコル仕様を考えた方がより救いようが無いと思いますが。

            個人的に「個人に関する情報」を杜撰に扱うのは、外部からの入力を信じてそのまま使ってXSSやSQLインジェクションを起こすWebアプリやバッファオーバーランを起こすアプリ並にイケてないと考えます。
            どれも「データの中身」のリスクを正しく評価せず、過小評価して使ってるという点で。

            --
            誰も信じちゃいけない、裏切られるから。
            私を信じないで、貴方を裏切ってしまうから。
            親コメント
            • by Anonymous Coward

              例え現時点では名寄せ以外の脅威が無かったとしても、OSが持つセキュリティモデルを崩壊させているという点で脆弱性かと。

              まあ言葉の問題ではあるんだけど、それから発生する脅威がないのなら、不具合かもしれませんが脆弱性ではないです。名寄せの問題は、アプリが自分で生成したユニークなIDを送るのはOSでは止められないので、もともとOSが持つセキュリティモデルで防ぐ問題ではありません。

              取得されるとOSレベルでセキュリティ上の問題が発生するようなやばい情報なら、その公開を許可するようなオプションを作ること自体が批判されるべきだとは思わないのですか。

      • とりあえず、みんなで偽IMEI付きUser-agent や偽IMEI入り勝手ヘッダを生成してアクセスしまくってやれば、そんな仕様には意味がなくなって変えざるを得なくなるのではないですかね。

        偽計業務妨害罪に問われたりして…

        しかしTogetterまとめ見たけど、「IMEI知られて何か問題でも?」って意見は結構あるのね。
        名寄せの危険性って意外と認識されていないものなのか。結構昔からある話題なのに。

        親コメント
        • by Anonymous Coward

          名寄せによる危険が明確ではないからじゃない?
          一般人は多少行動追跡されたところで、危険といえるほどの状況に陥る可能性は低いだろうし。

          • by Anonymous Coward

            一般人は多少行動追跡されたところで、危険といえるほどの状況に陥る可能性は低いだろうし。

            〜端末識別番号が垂れ流されている世の中〜

            話題のダイエット支援サイトを利用しているAさん、毎晩、体重とその日食べたものを入力することで、体重のグラフや栄養面でのアドバイスが出るのでとても便利。もう1年以上利用している。
            そのサイトには名前を入れるような会員登録はなくて、データは端末識別番号で管理されている。
            端末識別番号だけではそれがAさんだとはわからないから「個人情報ではありません(キリッ」
            そのダイエット支援サイトは、利用者の入力したデータを端末

            • by Anonymous Coward

              ストーカーは危険ですが、ストーカー被害にあう可能性はあまり高くないですから、それでは一般的な同意は得にくいと思いますよ。
              逆に、俺にストーカーなんて縁がないよなあ、と危険性を少なく見積もられる可能性もありますし。
              クレジットカード番号→不正請求、メールアドレス→スパムメール、みたいに誰でも遭遇するようなものでないと。

            • by Anonymous Coward

              その例は、「データを売るダイエット支援サイトが悪い」って言われるだけでは。それとも、そのサイトの行為に問題はないと言いきっちゃいますか?端末識別番号を送る行為を非難するために、データを売るサイトの行為をOKってことにしちゃうのは本末転倒だと思いますよ。

              ストーカー問題に関しては、ポイントカードとかでも同じ問題があります。ポイントカードの使用情報が売られてなくても、中の人には丸見えだろうってのは思っていても、それでもみんなポイントカードを使ってるわけで。

              • by Anonymous Coward

                データを得たサイトが、よそへデータを漏らさないのが前提なら、そもそも「名寄せによる危険」なんて説明できないじゃないか。

                ポイントカードのくだりはまさにその通り。
                今回はスマホ買ったら強制的にポイントカードに加入させられ、使用者がポイントカードを使おうと意識しなくても勝手に使われる可能性があるのが問題。

              • by Anonymous Coward

                データを得たサイトが、よそへデータを漏らさないのが前提なら、

                その割には、そのサイトが名前や住所、メールアドレスなどの情報は漏らさずにいてくれる、というのは前提にするんだよね。金のためなら端末識別番号つきのデータを売るサイトが、なぜか名前や住所に関しては突然倫理的になって売らずにいてくれるという謎の前提がないと成立しない議論に、一体どういう意味があるのでしょうか。

                そもそも「名寄せによる危険」なんて説明できないじゃないか。

                不特定多数に売るような例

          • by Anonymous Coward

            まぁ、メールアドレスでログインに比べればなw

        • 携帯の場合では話が通じないのであれば、あなたのパソコンのプロセッサにチップ固有IDがついてて、それがhttpヘッダでダダ漏れになったらどうする~と言ってやれば?
          昔Intelプロセッサで騒ぎになったことじゃないか
          (携帯でエロはしないから誰も気にしない?)
          ちなみに今は偽造対策のためにLSIに固有ID打つのは珍しくない時代です

          • by Anonymous Coward

            エロ携帯漫画は山のようにあるよ。

          • by Anonymous Coward

            あなたのパソコンのプロセッサにチップ固有IDがついてて、それがhttpヘッダでダダ漏れになったらどうする~と言ってやれば?

            IPアドレスでPCを特定できるケースは多いでしょうし、通信するたびにIPアドレスをさらしているわけですが、それを気にする人は少ないと思います。

            • あなたのパソコンのプロセッサにチップ固有IDがついてて、それがhttpヘッダでダダ漏れになったらどうする~と言ってやれば?

              IPアドレスでPCを特定できるケースは多いでしょうし、通信するたびにIPアドレスをさらしているわけですが、それを気にする人は少ないと思います。

              怪しいサイトを閲覧するときはプロキシでIPを隠して、心配だから二段三段と多段串にして、というのは一昔前のネットではごく普通に見られた光景だと思いますけど。
              というか、そういうのを気にする人が少ないなら、なんでPSNのときに反対運動が起こってIntelは断念せざるをえなかったんでしょうか?

              • by Anonymous Coward

                >怪しいサイトを閲覧するときはプロキシでIPを隠して、心配だから二段三段と多段串にして、というのは一昔前のネットではごく普通に見られた光景だと思いますけど。

                あなたの周りでは普通だったんでしょうね。
                普通の人は多段プロキシなんて思いもよらないでしょうけど。

              • by Anonymous Coward

                そういうのを気にする人が少ないなら、なんでPSNのときに反対運動が起こってIntelは断念せざるをえなかったんでしょうか?

                全体からみればごく一部の人が反対運動してただけでしょう。ほとんどの人はそんなことがあったことも知らなかったのでは。全世界で数億人の人がPSN反対運動を起こしたとでも思ってるんでしょうか?数千万人でも全体からみれば一部ですね。実際には数万人とかそんなもんでしょ。

            • by Anonymous Coward

              IPアドレスでPCを特定できるケースは多いでしょうし、通信するたびにIPアドレスをさらしているわけですが、それを気にする人は少ないと思います。

              ええ? 私のIPアドレスは毎日変化していますよ? あなたは違うの?

              • by Anonymous Coward

                あなたの環境がどうなってるかなんて、誰も気にしないのでわざわざ言わなくてもいいですよ。

                固定IPアドレスサービスを使ってなくても、ルーターつないで電源入れっぱなしとか、珍しくもないでしょ。

          • あるいは「パソコンにインストールされたWindows OSのシリアルナンバーを、IEがWebサーバにアクセスするたびにhttpヘッダとしてサーバに送信していたらどうなる?」とか。

            学生時代に研究室でこう説明したときは、それに嫌悪感を示さなかった人はいなかったんですけど、なんかtwitterまとめとか見てるとケータイ開発者の皆さんはそうでもないみたいですね。

ソースを見ろ -- ある4桁UID

処理中...