2010年04月27日
■ まだまだ他でも破綻しているケータイID認証
前回の補足。以下は、私が気づいたことではなく、2009年夏に「かんたんログインが危うい」との話題で持ち切りだったときに、既に公に語られていたことである。
- SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日
特にUserAgentからIMEI番号を正規表現などで抜き取ってそれだけを利用している場合は、この方法を使えば偽装可能。uidの方を使うようにした方がいいかも。
- モバイル用GWのIPアドレスを気にしてた時代もあったなぁ, コメント欄#1, 匿名の臆病者, 2009年8月6日
透過プロクシという仕組みはご存じない? あ、ということは少なくともhttpsにx-jphone-uidが乗っていたら擬装の虞か。(端末はuidを吐かないので)
しかし、携帯電話会社がこの仕様について何ら公表していないせいで、「かんたんログイン」実装者らに周知されていないのではないかと危惧される。事実を検証の上、少なくとも避けなければならないことを以下に書いておく。
端末シリアル番号を認証に使ってはいけない
X-JPhone-UID: などの、キャリアのゲートウェイ(やProxyサーバ)で付与される契約者固有IDは、偽IDが送信されても、ゲートウェイが本物のIDに差し替えてサーバに渡す(オーバーライドする)ようになっているらしいが、User-Agent: 内に記載された端末シリアル番号(IMEI番号)のオーバーライドはなされていない。
図1のように、私の端末のIMEI番号は末尾3桁が「357」であるところ、最後を「8」に変えた「偽の」端末シリアル番号を User-Agent: に載せて送信したところ、Webサーバにその文字列がそのまま届いている。
(一方、私のSoftBankの契約者固有IDは末尾3文字が「Wc0」であるところ、「Wc1」に変えた「偽の」契約者固有IDを X-JPhone-UID: に載せて送信したところ、これは「Wc0」にオーバーライドされてサーバに届いている。)
そして、アクセス元のIPアドレスは、「Yahoo!ケータイにて利用するIPアドレス帯域」のものになっている。
したがって、端末シリアル番号を認証に使っているとなりすましログインされてしまう。端末シリアル番号を認証に使ってはいけない。
このように端末シリアル番号をオーバーライドしないのは、仕様なのだろう。なぜなら、X-JPhone-UID: はヘッダの値フィールド全体が値なので仕様が暗黙的に自明だが、User-Agent: の途中に埋め込まれた端末シリアル番号は、どの部分が当該IDなのかその仕様が明確に定義されていない。感覚的には「4つ目の『/』の次の文字から次の空白まで」なのだろうけども、仕様が明確に定義されなかったせいで、Webアプリケーション側の実装は、「『SN』で始まり次の空白の前までの文字列」など、それぞれ思い思いのテキトーなやりかたがされているだろう。そのため、いくら、偽の端末シリアル番号らしき文字列をオーバーライドしようとしても、すべてのWebアプリ実装に対応できるようなパターンマッチが不可能になっている。
ネットの評判を検索して見てまわると、比較的最近に発売されたSoftBankの機種では、この端末シリアル番号の送信がデフォルトでOFFに設定されているらしい。そのため「かんたんログイン」が動かないということで、この設定をONに変更するように促しているサイトがあるが、危険なので、端末シリアル番号での「かんたんログイン」をやめるべきだ。
デフォルトでOFFに変更したということは、ソフトバンクモバイルは、この問題を知っていて、使うのをやめさせる方向でデフォルトOFFにしたのではないのか。
どうしてソフトバンクモバイルはこの事実を周知しないのか。いまだに「ユーザエージェントについて」のページに「端末シリアル番号」の使い方が掲載されている。無責任極まりない。
SSL接続で得たX-JPhone-UIDを認証に使ってはいけない
sbwapproxy.softbank.ne.jp:8080 をProxyサーバとして、SSL接続で(直接の https:// アクセスで)WebサーバにHTTPリクエストを送信した場合、end-to-endのSSL接続なのだから、そのリクエストの内容がいかなる内容であれ、それがゲートウェイ(Proxyサーバ)で書き換えられることはない。
図3のように、私のSoftBankの契約者固有IDは末尾3文字が「Wc0」であるところ、それを「Wc1」に変えた「偽の」契約者固有IDを X-JPhone-UID: に載せて送信したところ、Webサーバにその文字列がそのまま届いている。
そして、アクセス元のIPアドレスは、「Yahoo!ケータイにて利用するIPアドレス帯域」のものになっている。
したがって、SSL接続で受信した X-JPhone-UID: の値を認証に使っていると、なりすましログインされてしまう。SSL接続で受信した X-JPhone-UID: の値を認証に使ってはいけない。
たとえそのつもりがなくても、結果的にそうなっている場合がありそうなので注意が必要。つまり、http:// のページしか提供していないつもりで、所定のIPアドレスから送られてきた X-JPhone-UID: の値を認証に使用しているときに、管理者の与り知らぬところで実はWebサーバが https:// でもアクセスできるようになっていて、同じWebアプリケーションプログラムにリクエストが渡るようになっている場合、https:// 経由でなりすましログインされてしまう。
これも仕様だろう。キャリア側ではどうしようもない。なぜ携帯電話会社はこの事実を周知しないのか。無責任極まりない。
同様に、ゲートウェイ付与型の契約者固有IDを提供しているdocomoの場合はどうなのか。これは私から言うことではない。NTTドコモが周知することだろう。
先日のサイボウズOfficeの件のように、パッケージ製品として「かんたんログイン」機能を提供する場合、これに該当するアクセスについて、https:// では動かないようにする必要がある。それを、製品購入者の責任で安全に設定せよというのはあまりにも無理な話すぎる。
そして他にも……
つづく。
かんたんログインを提供しているサイト運営者の背筋を寒くするエントリ第2弾。例え、キャリアのGateway経由の場合、uidは正しい値に書き換えられる仕様なので安全だという今までの常識を覆されました。SoftBankで検証した結果、SSL通信の場合、上記書き換えは行われません..
- 中村正三郎のホットコーナー ×15 : 11, 1, 1, 1, 1 (2022-09-26)
- はてなブックマークコメント ×100 : 68, 25, 2, 1, 1, 1, 1, 1 (2017-07-26)
- https://www.ecoop.net/memo ×165 (2017-02-15)
- https://www.bing.com/ ×7 (2016-06-19)
- セキュリティホールmemo ×370 : 238, 126, 4, 1, 1 (2015-11-04)
- スラドarticle [15/08/29/1955233] ×19 (2015-08-30)
- https://www.google.co.jp ×20 (2015-08-26)
- Togetter [17968] ×32 : 28, 3, 1 (2015-01-14)
- はてなダイアリー [hideden 20090801] ×5 (2012-05-31)
- スラッシュドットarticle [10/10/25/0225253] ×237 : 134, 53, 34, 12, 4 (2011-11-21)
- Twitter [ockeghem] ×4 : 2, 2 (2011-03-15)
- ココログ [cyberlaw cocolog] ×11 : 9, 2 (2011-01-18)
- http://iiyu.asablo.jp/blog/2010/11/11/5491253 ×7 (2010-11-11)
- スラッシュドットcomments [511787] ×69 : 24, 15, 14, 3, 2, 2, 2, 2, 1, 1, 1, 1, 1 (2010-10-25)
- スラッシュドット ×2 : 1, 1 (2010-10-25)
- http://tmgn.lifespacetime.com/log/434106/ ×4 (2010-10-07)
- http://9jp.info/archives/110 ×114 (2010-06-03)
- http://www.igalog.net/xoops/modules/xpress ×6 (2010-06-01)
- http://www.ezinfo.jp/php/divide ×161 (2010-05-25)
- http://www.ezinfo.jp/php/functions ×138 (2010-05-25)
- http://igalog.net/xoops/modules/xpress ×53 (2010-05-05)
- はてなブックマークコメント [d.hatena.ne.jp/hideden/20090801/1249142985] ×9 (2010-05-02)
- Twitter [igi] ×5 (2010-05-02)
- Yahoo!ブックマーク [action] ×5 (2010-04-30)
- http://xoops.hypweb.net/modules/xpwiki/5936.html ×4 (2010-04-29)
- http://mininag.hopto.org/~kumo/chat/ ×4 (2010-04-29)
- http://morimori.jtjt.jp/?m=pc&a=page_fh_diary&target_c_diary... ×5 (2010-04-29)
- http://phpspot.org/blog/archives/2010/04/2010428.html ×221 (2010-04-28)
- http://morimori.jtjt.jp/?m=pc&a=page_fh_diary&target_c_diary... ×6 (2010-04-28)
- Twitter [hatebu] ×18 : 13, 2, 1, 1, 1 (2010-04-28)
- Tumblr [halmnm] ×5 (2010-04-28)
- Twitter [orangevtr] ×5 (2010-04-28)
- x-jphone-uid ×383 / imei 偽装 ×118 / IMEI 偽装 ×71 / X-JPHONE-UID ×68 / キーワード不明 ×50 / IMEI偽装 ×43 / IMEI 認証 ×38 / IMEI認証 ×37 / imei 認証 ×31 / imei偽装 ×29 / j-phone uid ×23 / softbank uid 仕様 ×22 / imei偽装方法 ×20 / x-jphone-uid ssl ×14 / UID認証 ×13 / 端末ID 認証 ×10 / 携帯 UID 偽装 ×10 / docomo ssl uid ×9 / かんたんログイン SSL ×8 / softbank ssl uid ×8 / 携帯 シリアルナンバー ×8 / uid 認証 ×8 / sbwapproxy.softbank.ne.jp ×8 / x-jphone ×7 / IMEI ×7 / imei 書き換え ×7 / IMEI UID ×7 / 端末シリアル番号 ×7 / IMEI 高木 ×7 / 端末ID認証 ×7 / jphone uid ×7 / imei 偽装方法 ×7 / 高木浩光 web 認証 ×6 / IMEI なりすまし ×6 / x-jphone-uid 偽装 ×6 / imei と uid ×6 / 高木浩光 IMEI ×6 / X-JPhone-UID ×6 / J-PHONE UID ×6 / uid 高木 ×6 / uid imei ×6 / SSL 簡単ログイン ×5 / uid 偽装 ×5 / ゲートウェイ付与型契約者ID ×5 / "x-jphone-uid" ×5 / ゲートウェイ付与型 ×5 / UID 高木 ×5 / UID 偽装 ×5 / imei認証 ×5 / softbank uid ×4 / x-jphone-uid: ×4 / softbank uid https ×4 / imei 高木 ×4 / IMEIの偽装 ×4 / user agent imei ×4 / 高木 IMEI ×4 / UID IMEI ×4 / IMEI HTTpリクエスト ×4 / 端末ID 高木 ×4 / softbank uid ssl ×4 / 携帯端末ID認証 ×4 / softbank x-jphone-uid ×4 / X-Jphone-Uid ×4 / imei uid ×3 / ユーザーエージェント IMEI ×3 / softbank 端末シリアル番号 ×3 / j phone uid ×3 / 端末id 認証 ×3 / 携帯電話 ゲートウェイ uid ×3 / ケータイID認証 ×3 / softbank x-jphone-uid ssl ×3 / 携帯 SSL UID ×3 / IMEI番号 認証 ×3 / IMEI かんたんログイン ×3 / x-jphone-uid SSL ×3 / 簡単ログイン SSL ×3 / UID 認証 ×3 / 高木 端末ID ×3 / SSLプロキシ ソフトバンクモバイル 高木 ×3 / IMEI偽装方法 ×3 / IMEI 詐称 ×3 / ソフトバンク UID ×3 / imei番号 偽装 ×3 / IMEIやUID偽装 ×3 / シリアルナンバー imei 違い ×3 / 携帯シリアルナンバー ×3 / sbwapproxy.softbank.ne.jp:8080 ×3 / IMEI 認証 ×3 / ゲートウェイ付与型のID ×3 / IMEI 書き換え ×3 / ssl uid ×3 / 高木 浩光 IMEI なりすまし ×3 / imei 偽造 ×3 / uid認証 ×3 / j-phone UID ×3 / ソフトバンク X-JPHONE-UID ×3 / 自宅の日記 UID ×3 / x-jphone-uid 仕様 ×3 / uid なりすまし ×3 / ケータイid なりすまし ×3 / SSL UID ×3 / jphone ×3 / x-jphone-uid https ×3 / 高木 端末認証 ×3 / 高木 UID ×3 / imei 書き換え方法 ×3 / ID 認証 ×3 / takagi hiromitsu uid ×3 / j-phone uid 端末シリアル ×3 / imei 送信 ×3 / 簡単ログイン imei ×3 / imei 認証 アプリ ×2 / imei番号 ×2 / Docomo 端末認証 -hiromitsu.jp ×2 / 携帯 IMEI HTTPヘッダ ×2 / UID認証 問題 ×2 / SSL 端末番号 ×2 / Softbank UID ×2 / 端末シリアル番号 SSL ×2 / iモード IMEI 認証 ×2 / X-Jphone ×2 / softbank ssl x-jphone-uid ×2 / x-jphone-uid 付与 ゲートウェイ ×2 / softbank uid 偽装 ×2 / ID認証 ソフトバンク ×2 / useragent シリアル ×2 / X−JPhone-UID ×2 / IMEI ID ×2 / IMEI 偽装 ×2 / docomo IMEI偽装 ×2 / SoftBank UID 端末シリアル番号 ゲートウェイ ×2 / sbwapproxy.softbank.ne.jp ssl ×2 / softbank 端末シリアル ×2 / 携帯電話 写真 SNで始まる ×2 / IMEI softbank ヘッダ ×2 / softbank 端末ID なりすまし ×2 / 高木浩光@自宅の日記 IMEI ×2 / softbank end-to-end ×2 / SoftBank 携帯 proxyサーバ アドレス ×2 / softbank 端末シリアル番号 仕様 ×2 / imei 変更 ×2 / X-JPhone-UID: ×2 / imei番号 偽造 ×2 / SSL uid ×2 / IMEI認証の偽装 ×2 / IMEI 送信 偽装 ×2 / pcから sbwapproxy.softbank.ne.jp ×2 / 端末認証 uid ×2 / IMEI偽装 iphone ×2 / ssl 高木 かんたんログイン ×2 / 端末ID 認証 ×2 / IMEI ヘッダー ×2 / softbank uid 仕様変更 ×2 / -hiromitsu.jp/diary/ 端末シリアル ×2 / useragent ドコモ IMEI ×2 / 高木浩光 ×2 / IMEI 高木浩光 ×2 / 契約者固有ID ソフトバンク ×2 / docomo uid 正規表現 ×2 / ソフトバンク 高木 端末ID ×2 / 携帯 端末ID Proxy ×2 / ssl docomo 簡単ログイン ×2 / x-jphone-uid 桁数 ×2 / IMEI 取得 perl ×2 / 契約者固有ID 認証 ×2 / ID認証 ×2 / J-Phone UID ×2 / IMEI番号 ×2 / ssl ログイン uid ×2 / User-Agent 端末シリアル番号 ×2 / softbank proxy ssl ×2 / シリアル番号 実装 プログラム ×2 / 端末id 偽装 ×2 / -hiromitsu.jp takagi-hiromitsu ssl ×2 / UID/IMEI送信 ×2 / IMEI番号を正規表現 ×2 / x-jphone- ×2 / imei ssl ×2 / ゲートウェイ付与のUIDを偽装 ×2 / useragent シリアルナンバー ×2 / IMEI 送信 ×2 / softbank uid 1 ×2 / UID認証 仕組み ×2 / Softbank 端末シリアル番号 ×2 / softbank ssl プロキシ ×2 / SSL シリアル番号 ×2 / softbank ssl 仕様変更 ×2 / softbank UID 仕様 ×2 / 高木 imei ×2 / 契約者固有ID 偽装 ×2 / "x-jphone-uid" https ×2 / 携帯 UID 認証 ×2 / (ケータイ 携帯) HTTP ヘッダ 契約者ID x-jphone-uid ×2 / useragent imei ×2 / x-jphone-uid 送信 ×2 / X-jphone-uid ×2 / sbwapproxy.softbank.ne.jp SSL ×2 / ソフトバンク UID 偽装 ×2 / 携帯 UID偽装 ×2 / UID なりすまし ×2 / imei書き換え ×2 / Softbank UID 仕様 ×2 / 「X-JPHONE-UID ×2 / S!アプリ x-jphone-uid ×2 / ssl シリアル番号 ×2 / softbank SSL 端末シリアル番号 ×2 / X-Jphone-UID ×2 / 簡単ログイン ssl ×2 / IMEI番号の認証 ×2 / softbank 契約者固有ID ×2 / j-phone 端末シリアル ×2 / IMEI User-Agent ×2 / キャリア UID 高木 ×2 / 契約者固有ID SSL ×2 / softbank 端末認証 オフ 設定 ×2 / UID偽装 ×2 / J-phone UID ×2 / ケータイ https ×2 / かんたんログイン ssl ×2 / End-to-End SSL softbank ×2 / softbank シリアル番号 ×2
