パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ドコモのAndroid端末にプリインストールされるメディアプレイヤー、端末識別情報を送信する仕様に」記事へのコメント

  • この記事 [takagi-hiromitsu.jp]で

    (略)というわけで、ここまで「ケータイ脳」が業界に深く根ざしているとなると、今後も、iPhoneに限らずAndroid等においても、同様の設計ミスで脆弱性を作り込んでしまう事業者が出てくるだろう。(略)

    と危惧していた事が現実に起きたわけですしね。

    #そういえば端末固有IDを簡単ログインに使っていたせいで個人情報漏洩事故が発生したの、ちょうど1年前じゃなかったっけ。

    • by Anonymous Coward

      User-agent や HTTP の勝手ヘッダに IMEI を入れるのは問題ではあるけど、それが「脆弱性を作りこんで」いるかというと、かなり微妙。

      とりあえず、みんなで偽IMEI付きUser-agent や偽IMEI入り勝手ヘッダを生成してアクセスしまくってやれば、そんな仕様には意味がなくなって変えざるを得なくなるのではないですかね。

      • Re: (スコア:3, 参考になる)

        とりあえず中古で所有者が変わる上に、ユーザーが任意に変更/クリアできない変数を使うセンスがアレという感じ。
        仕様を見た感じでも送信されないってパターンの記載が無いし、感じ的にWindows Media Playerとかの「一意のプレーヤー ID をコンテンツのプロバイダに送信する」が強制ON状態で固定。
        WMPは所詮アプリとしてしか固有IDを持ってないからOS再インストールでもすれば変わるという期待が取れる。(GUIDだし)

        脆弱性という観点で見るとIMEIの取得には本来「端末のステータスと ID の読み取り」という権限が必要だけど、持たないアプリやWebブラウザがこの

        --
        誰も信じちゃいけない、裏切られるから。
        私を信じないで、貴方を裏切ってしまうから。
        • その後ストーリーのリンク先に有る仕様書が更新され、PlayReady®のライセンス取得を行う通信のみとの記述になり、また「ライセンス取得には、都度ユーザの許諾が必要」との事です。
          であればユーザー側で意図しないタイミングでの、相手へのIMEI送出に対する防御は可能なはずです。
          ただし、譲渡後どうなるのかは相変わらず気になる所ですし、相変わらず名寄せは可能なのが気になります。

          例えば、アンケートに答えて音楽プレゼント的なキャンペーンを複数回した場合、超時間経っても名寄せ可能ですからね。
          また、ライセンス取得動作で中間者攻撃が可能ならばやはり意味が無いのですが。

          --
          誰も信じちゃいけない、裏切られるから。
          私を信じないで、貴方を裏切ってしまうから。
          親コメント

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...