パスワードを忘れた? アカウント作成
13897488 journal
日記

NurseAngelの日記: 『ウケトル』アプリが危険 4

日記 by NurseAngel

http://uketoru.net/

「ウケトル」はあなに代わって、あたな宛の荷物の追跡情報を調べ、その状況をプッシュ通知でお知らせしてくれる便利なアプリです。

ヤマト、佐川、Amazon、楽天、ヨドバシ、ZOZOなどのアカウントを登録しておくことにより、配送状況などを一元管理することができるアプリです。
いくつものメディアで紹介されています。

https://www.watch.impress.co.jp/docs/news/1160475.html
https://www.teluru.jp/posts/328
https://japan.cnet.com/article/35088996/

これについてヤマトから注意喚起がありました。

https://twitter.com/gorry5/status/1121665810810851331

株式会社ウケトルが提供するスマートフォン用アプリ「ウケトル」は弊社と正式に連携したアプリではありません。

「ウケトル」の画面上では、お客さまのクロネコIDとパスワードの入力を求める画面が表示されます。
お客さまが「ウケトル」を通してクロネコメンバーズのサービスをご利用いただいた場合、「ウケトル」に入力されたクロネコIDやパスワードを第三者に利用される危険性がありますので、十分にご注意ください。

ヤマトはAPIを提供しているので、これを使用しているのであればID/PWを入力する必要はないはずです。

アプリを使ってないので実際どうかはわかりませんが、発言FAQなどから察するに

・OAuthによるアプリ連携などを使わず、
・ID/パスワードをアプリで直接保存する
・Webページに直接POSTを送りつけてレスポンスをスクレイピングして情報を得る

みたいなことをやっているのではないかと思われます。
個人的に私用するアプリで連携の手間を抜いて手抜きすることとかはたまにやるけど、業務としてやることではないだろ。

それにしても、公式でないアプリにID/PW入力画面が出た時点でアウトなのに、これまで数年誰も指摘しなかったとはなんともはや。

この議論は、NurseAngel (40269)によって「 ログインユーザだけ」として作成されている。 ログインしてから来てね。
typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...