アカウント名:
パスワード:
PINコードって取得した後どうすんの?外部アプリから入力出来るの?アプリ側からPINを入力出来るならロック掛からないようにチマチマやれば、ブルートフォースで行った方が楽じゃね?まさか、PINコード割り出したら直接入力する為に、位置情報使って訪ねてくる?それは怖いわ。
# GPS以外のセンサーにもパーミッション付ければ解決じゃね?バックグラウンドでハードウェアリソース使うと電池減るから、任意にオフに出来ると良いよね。
このコメント [srad.jp]にも書いたけど、そのPINコードじゃないやつが危ないんじゃないかな。
例えば、GoogleとかAmazonとかのお買い物券のスクラッチを削って出てくる数字とか。入力をバックグラウンドで監視しておいて、入力されたっぽかったら先回りして攻撃者のアカウントにチャージしちゃうという攻撃が成立する。先回りが難しいなら、最後の1桁を当てずっぽうで10回やるという方法とかでも。
Googleギフトカードがそうかは知らないけど、以前に海外で使った何かのプリペイド携帯電話のチャージカードの取扱説明書には、「スクラッチを削って出てきたPINをSNSでこの番号に送ればチャージが完了する」という文脈で「PIN」って単語が使われてた。
認証連携で2FAのコードを叩いてるところを盗み取るのかも特にTOTPだとそれを使ってパスワードリセットするとか2FA無効化の手続きを通すという攻撃はあり得る
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
待て待て (スコア:0)
PINコードって取得した後どうすんの?
外部アプリから入力出来るの?
アプリ側からPINを入力出来るならロック掛からないようにチマチマやれば、ブルートフォースで行った方が楽じゃね?
まさか、PINコード割り出したら直接入力する為に、位置情報使って訪ねてくる?それは怖いわ。
# GPS以外のセンサーにもパーミッション付ければ解決じゃね?バックグラウンドでハードウェアリソース使うと電池減るから、任意にオフに出来ると良いよね。
Re: (スコア:0)
このコメント [srad.jp]にも書いたけど、そのPINコードじゃないやつが危ないんじゃないかな。
例えば、GoogleとかAmazonとかのお買い物券のスクラッチを削って出てくる数字とか。入力をバックグラウンドで監視しておいて、入力されたっぽかったら先回りして攻撃者のアカウントにチャージしちゃうという攻撃が成立する。先回りが難しいなら、最後の1桁を当てずっぽうで10回やるという方法とかでも。
Googleギフトカードがそうかは知らないけど、以前に海外で使った何かのプリペイド携帯電話のチャージカードの取扱説明書には、「スクラッチを削って出てきたPINをSNSでこの番号に送ればチャージが完了する」という文脈で「PIN」って単語が使われてた。
Re:待て待て (スコア:0)
認証連携で2FAのコードを叩いてるところを盗み取るのかも
特にTOTPだとそれを使ってパスワードリセットするとか2FA無効化の手続きを通すという攻撃はあり得る