パスワードを忘れた? アカウント作成
3499 story

auの携帯電話にReferer誤送出の欠陥、KDDIは回収せず 36

ストーリー by Oliver
謎のRefererはそれが原因だったか 部門より

jbeef曰く、"25日にBUGTRAQ-JPに 投稿された記事(リンク先は日本語非対応のため文字化け中)によると、auのWAP 2.0対応携帯電話の一部で、受信したメール中のURLを開くと、直前に表示していたWebページのURLがRefererとして送出されてしまうバグがあるという。
携帯電話向けのWebアプリケーションでは、セッションID(または、手抜きサイトではユーザIDとパスワード)をURLに含めることでセッション管理が行われていることがある。その場合、こうしたバグがあると、IDを含む(場合によってはパスワードをも含む)URLが第三者サイトに漏れてしまう。その第三者は漏れてきたURLにアクセスするだけで、被害者のログイン後の画面を乗っ取ることができてしまう。
こうした危険性は、PC向けサイトではWebアプリケーション側の欠陥としてかねてより多方面で指摘されてきたが、 携帯電話では、ブラウザがcookieやPOSTの機能を持たないことがあるため、こうした作り方はやむを得ない面があった。発見者の指摘によると、この問題により、例えば、 J-Phoneの「@写メール」でメールや写真が第三者に見られたり、位置情報をサポートしたサイトにアクセスした直後にその位置情報を第三者に知られるなどの被害が出る恐れがあるという。
ZDNetの 記事によると、このバグのある機種は、A3012CA、A3011SA、A3013T、 C5001T、C3001H、C3003Pの6機種。KDDIは、8月中旬以降にauショップでのバー ジョンアップで対応するとしているが、ダイレクトメールなどでの告知は予定 していないと伝えている。
携帯電話は高機能化で数々のバグが発覚しているが、個人情報漏洩を直接引 き起こす欠陥が明らかになったのは、昨年5月のSO503iの iアプリのスクラッチパッドのバグに続く2件目となる。このときは、 販売の一時 停止と42万台の回収という的確な対応がなされている。今回の欠陥は、SO503iのケースに比べると、被害が現実となる可能性の高いものであるだけに心配だ。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 発見者の報告 [nifty.ne.jp](ミラー)によると、
    この件とは直接は関係ないが、@sha-mailでは本文に「<a href=...>... </a> ここ見て」とHTMLで記述し、送信すると受信側ではハイパーリンクになり便 利なのだが、やはりメールのURLが漏洩する
    とあります。私は確認していないのですが、これは、
    「@写メール」による受信メールを、 Referer機能のあるブラウザで読みに行き、 そこにあるリンクを辿ると、 リンク先のサイトの人にもそのメールの内容 (例えば、そのリンク先の陰口をたたいているのを)を見られてしまう。
    ということを意味しているのでしょうか。 そうであれば、 これは「@写メール」自体のセキュリティホール(もある)と言ってよいのではないかと。 J-Phoneの携帯電話ではReferer非対応ブラウザを搭載しているために、 Refererによる情報漏洩の可能性を想定していなかったということでしょうか。 やっかいな問題ですね。 とりあえず、「@写メール」は、 ハイパーリンクを一旦リダイレクタを通すように改修できるのではないかと。 でも、携帯電話は302応答にも対応していないとか?
    • 携帯電話のHTTPやHTMLの解釈は、お話にならないほど低水準のものです。

      にもかかわらず、HTTPやHTMLの規格をフル装備していても完璧な実装は不可能な「セッション」を実現させたがる。

      頭が悪いとしか言いようがない。
      親コメント
      • 利用者は携帯電話でWebにアクセスできると言われると、 画面上の制約は考えても、それ以上は考えつかないのは仕方ないことだと思います。

        ただ、クッキーも全キャリア対応でもない、Referも吐いてくれない端末と吐く端末がある、UserAgentも同じキャリアでも記述方式が変わることがある、キャリアが端末の利用するIPを教えてくれないetc...という状況でセッション管理?と言いたくなるのもまた事実。勘弁して欲しいです。
        親コメント
    • でも、携帯電話は302応答にも対応していないとか?

      私の知る限り、iモードとEZweb(HDML機/XHTML機)は30x応答に追従します。Jは実機所持経験がないので不明です。Developper Programのページにもないな……。iモードでは「ページが移動しました」ダイアログが出ます。ページ移転を302(か303。どちらを使ったかはもう覚えてません)でまわしたときにこのダイアログについての苦情をもらい、あわてて別の方法(リンクで飛ばす)をとったことがあります。

      携帯電話で30x応答に追従しないのですぐに思いつくのはDDIPのオープンネットコンテンツですかね。

      親コメント
  • 発見者が2日後に再度BUGTRAQ-JPに投稿した記事 [securityfocus.com](リンク先は文字化け中)によると、
    また、具体例として位置情報やWebメールをあげさせていただきましたが、他に も au の公式ページにある料金確認ページ等もこれに含まれます。

    特に料金が表示されるページは閉じた環境ではなくインターネットから参照可 能であり、QUERY_STRINGに顧客IDがついているため、HTTP_REFERERで伝えられ たURLで特にをそのまま参照可能となっています。

    また、この顧客IDが連番なため*極めて危険な状態*になっています。

    とのこと。詳細が不明ですが、心配です。KDDIで閉じた問題なので、明らかにKDDIに何らかの対処が必要ではないでしょうか。

    また、これも2つの別々の問題を指摘しているように読めます。

    1. Referer誤送出の欠陥により、料金照会ページのセッションがハイジャックされてしまう。

    2. それとは無関係に(それ以前の問題として)、auの料金照会Webアプリケーションに欠陥があり、顧客IDをURLに入れるだけで誰の料金照会ページも見れてしまう。
    2番目はマスメディア等による確認がなされていませんが、そのように述べられているように読めます。事実であれば大変な事態です。
    • by Anonymous Coward on 2002年07月29日 14時46分 (#135173)
      現象を確認。

      1. C5001T(Ver 1.0.2.273)で、料金照会ページの[通話料・通信料照会]にアクセス。
      2. C5001Tに、HTTP_REFERERを取得するCGIのURLの書いたメールを送付。
      3. C5001Tで2.のメールを受信し、書かれているURLへアクセス。
      4. 取得したHTTP_REFERERを、A3014Sにメールで送付。
      5. A3014Sで、4.のメールを受信し、書かれているURLへアクセス。
      6. A3014Sで、1.と同じ内容が表示される。

      なんで、サブスクライバIDのチェックをしていないんでしょうね?
      親コメント
  • by Anonymous Coward on 2002年07月28日 7時05分 (#134310)
    ダイレクトメールでの告知はおろか、 ケータイWatch [impress.co.jp] によると、
    この件に関しKDDIでは、...「特に報道発表やホームページ上での告知は行な わない」としている。
    だそうで。「たいした問題でない」という単なる認識不足なのか、それとも経営上の判断なのか...。

    ちなみに BugTraq-JP の記事は ここのミラー [nifty.ne.jp] で読めます。

    • 「たいした問題でない」という単なる認識不足なのか、それとも経営上の判断なのか...。

      セキュリティのことを知らない一般の人々は、公表すると「auって危ないんだ」という印象を持ってしまう。セキュリティに関してある程度知っている人は、進んで告知しないことを非難する。残念ながら前者の人々の方が数が多いのでしょう。

      経営的には「正しい」のかも知れないが、道義的にはよろしくないですね。

      まあ一般利用者がもっと賢くなれば状況は変わるのでしょうけれど……。

      親コメント
    • >この件に関しKDDIでは、...「特に報道発表やホームページ上での告知は行なわない」としている。

      ただ単純に今すぐ対処できないから、とりあえずはまだ何も出来ない事を言いたいだけかも
      窓口での対処法マニュアルがまだ出来てないとか…
      せめて、「対応については、ただいま検討中です」ぐらいのアナウンスぐらいすればいいものを…
      --

      /* Kachou Utumi
      I'm Not Rich... */
      親コメント
    • 仕事以外で月々何万円も通話料使う人を半分馬鹿にしている
      のかもしれませんよ。
      「そんなお客さんには言わなくてもダイジョブだろう」

      新聞やTVに大きくでて初めて対応するつもりでは?
      親コメント
      • by Artane. (1042) on 2002年07月28日 12時18分 (#134384) ホームページ 日記
        A3012CAでEZWebを連続して使っていると落ちると言う問題がありまして、一般的にはQuallcommの チップ周りのバグとして処理されていますが、これも不具合通知が公表されていません

        で、この問題ですがAUショップでは認識されているものの、メーカー修理しても直らない場合が ありまして(私の電話がそう)、「直って」からの動きを見ていたら、省電力機能が 液晶と音声を勝手に落して、電源キー以外反応しなくなると言う新たなバグらしき ものが見受けられました。

        こういう事を考えると、今のAuのやり方と言うのは不安は煽らないかも知れないけ ど、メーカにはゆるいやり方であるとしか思えないのですが。

        既に携帯電話市場が飽和した以上、品質が勝負になると思うし、このようなゆるゆるな 体制では後でユーザが大きな不都合を被るのではないかと考えるのですが。

        親コメント
        • 動かなくなる等の、ユーザが自力で故障に気付く不具合については、販売店に相談のあったユーザにだけ対応するというのもわからなくもないのですが、情報漏洩というのはユーザが自力で気付けないものだけに、漏洩する欠陥が確認されたのに告知しないというのは、いかがなものでしょうか。
          親コメント
    • システムダウンによる通話障害があっても、Ezwebが使用不能になってもなかなか発表しない会社なので、今回も同様でしょう。
  • by yororei (9799) on 2002年07月28日 11時26分 (#134368) ホームページ

    リファラがどうこういうと難しいので 単に、はやりの個人情報漏洩の危険性があるという事だけ指摘すれば 話は変わったかもしれない その方が報道機関に食いつきが良さそうな気がしないでもないし

  • by Anonymous Coward on 2002年07月29日 0時43分 (#134834)
    これがセキュリティー欠陥のそもそもの原因だよ。 どこから来たかなんて、教える必要無し。
    • セキュリティ上の対策手段としてRefererが使える場合もあります。例えば、次のような攻撃の可能性を考えてみてください。
      • 罠のページにアクセスしただけで、ある掲示板に対して用意された文を強制的に書き込まさせられる(掲示板のCGIに対してPOSTを実行する)という攻撃。
      • cookieだけでセッション管理されているショッピングサイトにログインした後、ログアウトせずに、罠のページにアクセスしたとき、強制的に何かを注文させられたり、登録情報を書き換えられたり削除させられるという攻撃。
      これらを防ぐために、サイト側で、Refererが想定したところとなっているかどうかをチェックするという方法があります。

      ただ、この目的のためだけであれば、Refererを、同一ドメインへのリンクのときだけ送出するという仕様でも十分かもしれません。 このあたりについては、小島さんのこちらのページ [ryukoku.ac.jp]でまとめられています。

      親コメント
    • ユーザー(クライアント側)にはあんまり必要なくて、サーバー管理者側では欲しい情報の一つなんじゃないかな。自分がどちらの立場に立つかによって必要か不要なのか意見が分かれそう..。
    • これ、i-mode では、送信されませんね。
      でも、不自由は感じてないなぁ~
    • このようなケース [nergal.net]に代表されるように、
      自分の悪口を言われていないか気になって仕方がない粘着質の人には
      どこから辿ってきたのかという情報は必須なのでしょう。
  • さらに他にも別の問題点が指摘されているようです。 発見者の最初の報告 [nifty.ne.jp]によると、
    また、本件に限らず位置情報取得後のページのハイパーリンクを選択した場 合、その先のページに「利用者の同意なし」にHTTP_REFERERに位置情報が付 加され送信される。位置情報の扱いについては、その仕様から上記URLの記 述とは異なる設計になっている。
    とあります。つまり、 位置情報を利用したサービスサイトに、 GETメソッドで位置情報を送信すると、 URLに位置情報が含まれていることになるので、 そのサービスサイトのページにあるリンクを辿ると、 Refererによってそのリンク先にも位置情報が送信されてしまうと。これは、今回のReferer誤送出の欠陥がなくても、 そのようになるということですね。

    これは、位置情報をGETで送出できること自体が誤った仕様と言えるのではないでしょうか。

    KDDIの位置情報機能の仕様 [kddi.com]では、「利用者同意の上で」位置情報が送信されるとなっているのに、同意していないサイトへも位置情報が漏れてしまうと。

  • by Anonymous Coward on 2002年07月28日 12時34分 (#134392)
    KDDIって何でも隠すよ。情報公開って考えがないんだと思うね。ドコモの資料とたいして変わらないことしか書いてないのに秘密保持契約しないと見られない某資料とかさ…
    # やばい(?)のでAC
    • by Anonymous Coward
      あ,その「ドコモの資料」てのは一般公開されていて誰でも読めるやつのことを言ってます。
    • by Anonymous Coward

      GPS機能の利用方法についての一般向け資料早く出して欲しい。そりゃもう解析されちゃってみんな使い始めてますけどね? それでも資料出すのと出さないのでは違うでしょう。やっぱ、C5001Tだけ仕様が違う点が問題になってるのかな。

  • by Anonymous Coward on 2002年07月29日 9時48分 (#134983)
    zdnetで
    > 「A3012CA」「A3011SA」「A3013T」「C5001T」「C3001H」「C3003P」 の6機種が該当する。
    > KDDIによる と、「バージョンが1.0.7以下のものが該当する」。1.0.7.1 以上であれば、対応済みとなる。
    とあったので、A3014S(Sony Ericsson製)のバージョンを確認しましたが、
    Mobile Browser 1.0.7 Universal Edition
    となっているので、これも該当機種なんでしょうかねぇ・・・・。
    最近SONY携帯にやられてるなぁ・・・。
    (今回は、Openwaveが悪いとしても、前の機種がSO503iだったので・・・)
    • by Dot.Zeile (1169) on 2002年07月29日 13時42分 (#135121) 日記
      私も先日3014にしたばかりなので、気になっていましたが、ZDNetによれば
      <29日追記>なお「A3014S」「C3002K」に関してはブラウザのバージョンは該当するが、実装が異なり、この問題は発生しない
      とのことです。「実装が異なり」ってのがイマイチ意味不明ですが…実装が違うものを同じバージョン番号で管理したら死にそう。:-)
      親コメント
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...