NurseAngelの日記: 『ウケトル』アプリが危険 4
「ウケトル」はあなに代わって、あたな宛の荷物の追跡情報を調べ、その状況をプッシュ通知でお知らせしてくれる便利なアプリです。
ヤマト、佐川、Amazon、楽天、ヨドバシ、ZOZOなどのアカウントを登録しておくことにより、配送状況などを一元管理することができるアプリです。
いくつものメディアで紹介されています。
https://www.watch.impress.co.jp/docs/news/1160475.html
https://www.teluru.jp/posts/328
https://japan.cnet.com/article/35088996/
これについてヤマトから注意喚起がありました。
https://twitter.com/gorry5/status/1121665810810851331
株式会社ウケトルが提供するスマートフォン用アプリ「ウケトル」は弊社と正式に連携したアプリではありません。
「ウケトル」の画面上では、お客さまのクロネコIDとパスワードの入力を求める画面が表示されます。
お客さまが「ウケトル」を通してクロネコメンバーズのサービスをご利用いただいた場合、「ウケトル」に入力されたクロネコIDやパスワードを第三者に利用される危険性がありますので、十分にご注意ください。
ヤマトはAPIを提供しているので、これを使用しているのであればID/PWを入力する必要はないはずです。
アプリを使ってないので実際どうかはわかりませんが、発言やFAQなどから察するに
・OAuthによるアプリ連携などを使わず、
・ID/パスワードをアプリで直接保存する
・Webページに直接POSTを送りつけてレスポンスをスクレイピングして情報を得る
みたいなことをやっているのではないかと思われます。
個人的に私用するアプリで連携の手間を抜いて手抜きすることとかはたまにやるけど、業務としてやることではないだろ。
それにしても、公式でないアプリにID/PW入力画面が出た時点でアウトなのに、これまで数年誰も指摘しなかったとはなんともはや。
何にウケとるの?って思っちゃった (スコア:1)
受け取る、の意味か。
ヤマトのお知らせでは (スコア:1)
ウケトルはヤマトと正式に連携したアプリではない。
クロネコヤマトメンバーズ規約では第三者にパスワードを使わせることは禁止している。
既にウケトルにパスワードを入力した場合はパスワード変更をオススメ。
(ウケトルを使うなとは言ってない)
だそうな。
そもそも似たような業態多くない? (スコア:1)
Orarioかと思った (スコア:1)
アプリ運営者が他サービスのID/PWを募る(開示させる)ことで問題となった、
大学履修管理アプリ「Orario」と同根やね。
https://srad.jp/~yasuoka/journal/611343/ [srad.jp]
https://srad.jp/~yasuoka/journal/611583/ [srad.jp]
https://tech.nikkeibp.co.jp/it/atcl/mag/15/120600010/120600151/ [nikkeibp.co.jp]