【COCOA】接触確認アプリに「陽性情報の登録を総当たりで登録できる」脆弱性 ボランティアが発見し修正依頼→無視され更新もなし [サーバル★]

[0001 サーバル ★ 2020/08/31(月) 01:03:48.48 ID:SSFJfAIK9]

■新型コロナウイルス接触確認アプリ(COCOA)で攻撃できる問題

はじめに

#COCOAボランティアデバッグ に尽力されている皆様に深い敬意を表します。
併せて、 OSS コミュニティへの悪影響を残している関係行政機関・各社担当者を強く軽蔑します。
project dead? · Issue #773 · Covid-19Radar/Covid19Radar · GitHub
COCOA が抱えるアプリケーション設計上の問題点

攻撃者が COVID-19 感染者になりすまして「陽性情報の登録」を比較的容易に行える設計であること

登録に必要な「処理番号」のフォーマットは半角数字8桁であることが明示されてしまっている
ブルートフォース対策としてなのか、複数回の入力ミス発生時は「登録回数上限になりました。アプリケーションを終了します」としてアプリケーションが強制終了するが、特にそれ以上のペナルティは確認できない
SMS による処理番号通知を行っているのであれば、8桁数字ではなくハッシュ値を含む URL による登録など、ブルートフォース対策を含めた登録方法とするべきでは無かったか？
接触記録の条件である「概ね１メートル以内で15分以上」の距離条件を大きく逸脱している可能性があること

(注) これはアプリケーション固有の問題ではない( Apple-Google API の問題)が、前項の問題点と併せることで脅威となりうるので便宜的に示しておきます
この API は端末間距離を Bluetooth の電波強度により測定しているとしているが、実際の距離を担保するものではない
5m 離れていてもこの API による接触記録対象となる可能性がある
Corona-Warn-Apps: Studie findet Probleme bei der Kontaktverfolgung im ÖPNV | heise online
これにより後程示す悪用者が居なくとも COCOA 利用者が「陽性者と接触した旨の通知を過剰に受ける」脅威にさらされている可能性が考えられる
日本国内における現行法制下では代案を示すことが難しい問題であるが、まずは第三者による検証が求められる
COCOA が抱える運用上の問題点

※一部で報じられている「保健所から COCOA への陽性情報の登録に必要な処理番号が即日発行されない」などの問題もありますが、ここでは省略します
COCOA により陽性者と接触した旨の通知を受け取ると感染症コールセンターへの連絡を促され PCR 検査を受けることになる
余談レベルだが、感染症コールセンターを始めとする各所への通話料金は COCOA 導入者自身が負担することになる

(略)

細かい説明や具体的な表現は控えましたが、この攻撃を仮に受けたとして致命傷に近いダメージを受ける事業者は少なくないと思います。
事業所単位で COCOA の導入を推奨している管理者は直ちに見直すことを推奨します。
まとめ

本日より COCOA の導入を促すテレビCMが放映されているようです。（ #検察庁法改正案に抗議します で一躍有名になったきゃりーぱみゅぱみゅ氏などが出演されているようです）
一方で COCOA アプリケーションのリリースは 2020年7月13日 にリリースされた v1.1.2 を最後にアップデートが途絶えており、不具合ととれる多数の事象は解決されず、上記に挙げたような問題点が払拭されることも残念ながら当面は無さそうです。

世間では高ぶる正義感からか COCOA の導入を声高らかに勧めたり、従業員やビジネスパートナーに導入を強いている管理者も現れているようです。
このエントリを通じて、そのような方々へ抵抗出来る材料が提供できれば幸いです。
余談

冒頭のように COCOA の原型であるとされる Covid-19Radar/Covid19Radar プロジェクトも OSS にあるまじき「放置状態」が続いています。
これが GitHub を買収した企業に所属する人間の所作ですか？

IT/ICT や OSS を通じて昨今の COVID-19 感染拡大を発端とする諸問題を解決する動きは支持したいですが、このような杜撰なサービス運営により IT/ICT や OSS に対する世間の期待を悪化させることを強く憂慮しています。

https://anond.hatelabo.jp/20200830172134

https://github.com/Covid-19Radar/Covid19Radar/issues/773

[0952 不要不急の名無しさん 2020/08/31(月) 12:04:33.12 ID:p1VrJ4Z60]

こんなの使う気なのかよ

[0953 不要不急の名無しさん 2020/08/31(月) 12:14:10.03 ID:uz2GCmFk0]

>>939
うちもビエラ買ってアプリはいってるからとネトフリとかYoutubeとか使おうと思ったら接続前に接続情報取得の同意をもとめる画面が出る
読むとそれぞれのアプリの接続をパナソニックが取るという
んでそれ以上進まず問い合わせした
そしたら法的同意画面はそこに書いてある通りで説明はできないという
法務にも繋いでもらえない
つまり裁判でも起こさないとこっちは言われるままに使うしかない

でアプリは使うのをやめてる

[0954 不要不急の名無しさん 2020/08/31(月) 12:14:11.98 ID:B5tDw0LJ0]

これどうやってんだ？
陽性者の処理番号を漁って登録できちゃうよってこと？
代わりに登録してくれるなら親切なんじゃ

ぜんぜん関係ない陰性の人も陽性にできる？

[0955 不要不急の名無しさん 2020/08/31(月) 12:15:05.45 ID:92Y7KJ150]

>>954
登録するスマホの人が全然関係ない人だと意味ないんじゃね

[0956 不要不急の名無しさん 2020/08/31(月) 12:15:23.35 ID:B5tDw0LJ0]

>>948
まあ個人情報うんちゃらだから自動はむずかしいな

[0957 不要不急の名無しさん 2020/08/31(月) 12:15:51.01 ID:uz2GCmFk0]

>>953
あとテレビはそういうわけでネットに繋いでない

あとブルーレイレコーダーはネット繋ぐと漢字変換で余計な芸能テレビ番組名を呼び込んでくる仕様だし
使えない

[0958 不要不急の名無しさん 2020/08/31(月) 12:16:12.76 ID:BtGIdt6t0]

>>948
個人情報ガーは、人権ガーの人がいるからこの仕様になった。

[0959 不要不急の名無しさん 2020/08/31(月) 12:17:28.18 ID:Lrjy3aQQ0]

>>867
ニュース観てない？
アプリが役に立ったケース出てるよ

[0960 不要不急の名無しさん 2020/08/31(月) 12:21:00.44 ID:laL/lCEN0]

どうせ>>１みたいな攻撃する奴はチョンなんだから、
チョンを日本から排除すれば問題ない

[0961 不要不急の名無しさん 2020/08/31(月) 12:22:47.71 ID:I/xuLVbf0]

まだまだ不具合あるんだろうな

[0962 不要不急の名無しさん 2020/08/31(月) 12:23:38.82 ID:dQEDFk170]

>>945
成り済ます必要もなく自己申告できるじゃん

[0963 不要不急の名無しさん 2020/08/31(月) 12:29:45.73 ID:Kf2HFeAX0]

登録しまくれば良くね

[0964 不要不急の名無しさん 2020/08/31(月) 12:34:54.12 ID:JbEidUSL0]

>>959
ということは総当たり攻撃ももうできるのか

[0965 不要不急の名無しさん 2020/08/31(月) 12:37:56.91 ID:+FhJrwiD0]

>>957
酷いのはDLNA(ビエラリンク)
テロップまみれで消すのに７回くらいボタン押さなきゃならんとか
どんな障害者雇用の知的障害者に作らせたんだか

[0966 名なし 2020/08/31(月) 12:38:44.18 ID:9ao9dySm0]

銭湯入る時は電源オフにするわ

[0967 不要不急の名無しさん 2020/08/31(月) 12:40:01.53 ID:AdvuJyvZ0]

「陽性情報の登録を総当たりで登録できる」脆弱性

脆弱なのか強力なのかよくわからんな

[0968 不要不急の名無しさん 2020/08/31(月) 12:46:54.98 ID:LomoK1j20]

>>962
お前すげえ何も分かってねえじゃんｗ二度とレスするな

[0969 不要不急の名無しさん 2020/08/31(月) 12:55:02.53 ID:t0uB3Znz0]

国産アプリでまともなアプリって無いよな

[0970 不要不急の名無しさん 2020/08/31(月) 12:55:58.01 ID:71o4fkO20]

国産アプリって他なんかあったか？

[0971 不要不急の名無しさん 2020/08/31(月) 12:56:40.37 ID:+3O/FzXX0]

なんで成りすまして登録する必要がある？
クレカの番号とか盗めるのか？

[0972 不要不急の名無しさん 2020/08/31(月) 12:57:07.53 ID:aHiq3L9F0]

日本政府が絡んだものってイマイチ信用できんのだよ

[0973 不要不急の名無しさん 2020/08/31(月) 12:59:03.38 ID:yYAHDn6A0]

ここ見てると作るのが嫌になりそう
保健所がログインして陽性登録出来ればいいか

[0974 不要不急の名無しさん 2020/08/31(月) 12:59:52.12 ID:JgA8PvMK0]

>>1
何のために抵抗するの？

[0975 不要不急の名無しさん 2020/08/31(月) 13:00:47.43 ID:JgA8PvMK0]

OSSなんて放置されてるのが大半だし

[0976 不要不急の名無しさん 2020/08/31(月) 13:01:41.47 ID:71o4fkO20]

>>971
>>35にあるぞ
攻撃用だとさ

[0977 不要不急の名無しさん 2020/08/31(月) 13:02:41.30 ID:JgA8PvMK0]

スマホのアプリなんだから数字入力させないでQRコード読ませろよw

[0978 不要不急の名無しさん 2020/08/31(月) 13:03:20.14 ID:tRmg6c4P0]

OSSじゃないもののほうが放置されてるわ
しかも盛大にスパイウェア入ってるし

[0979 不要不急の名無しさん 2020/08/31(月) 13:07:44.93 ID:JgA8PvMK0]

ハッシュがどうのこうのじゃなくて桁数が少ないと無作為に数字入れたら当たりやすいという事だぜ？
逆に20桁もあったら入力してらんないw
QRにしろ

[0980 不要不急の名無しさん 2020/08/31(月) 13:08:45.56 ID:1pjUYfX40]

こないだ通知来た
心当たりはぼっち昼飯で店入った時の他のテーブルの客ぐらい
症状は出てない

[0981 不要不急の名無しさん 2020/08/31(月) 13:11:34.99 ID:gIgN0Klv0]

ユーザが要請者登録をするからおかしくなるんだろ？
なんで管理者がやらんの？

[0982 不要不急の名無しさん 2020/08/31(月) 13:14:07.26 ID:eoW7GBCA0]

>>981
管理者がユーザーの登録IDを取得出来ないからだろ？
個人情報取扱規程ななにかに抵触するんじゃね？

[0983 不要不急の名無しさん 2020/08/31(月) 13:15:05.90 ID:UklMhipU0]

難しいな

[0984 不要不急の名無しさん 2020/08/31(月) 13:16:49.21 ID:ciWaKDL40]

実は登録は既に無効化されている
入力が出来ても登録はされない
つまり罠だ
誰が虚偽の入力をするか監視しているらしいぞ(噂)

[0985 不要不急の名無しさん 2020/08/31(月) 13:19:46.96 ID:BtGIdt6t0]

>>981
個人情報ガー、人権ガーの人に配慮した結果こうなった。

[0986 不要不急の名無しさん 2020/08/31(月) 13:25:21.42 ID:wbJpgma60]

>>877
民主がその構造潰すって仕分けしたら、逆に潰されちゃったしな
官僚がサボタージュしたら今の力ない政治家には手も足も出ない
この問題も含めて、まず国民が正しい選択をする知識と思考を身につけないと日本は良くならない
資料に裏付けられた事実認識と思想や局所的損得にとらわれない自由な思考が大切

[0987 不要不急の名無しさん 2020/08/31(月) 13:26:07.75 ID:4HD8f5eU0]

医療機関がコロナ認定した時点で医療機関が登録するようにすればいいやん

[0988 不要不急の名無しさん 2020/08/31(月) 13:27:28.18 ID:20B7/6al0]

>>987
端末と対のデータがないから無理

[0989 不要不急の名無しさん 2020/08/31(月) 13:31:53.35 ID:cIKKR0ku0]

>>47
そんな頭で連投してんのかw
偽計業務妨害だよ。実刑くらってこい。

[0990 不要不急の名無しさん 2020/08/31(月) 13:38:50.40 ID:ZEPLVUXT0]

さて梅とくか？

[0991 不要不急の名無しさん 2020/08/31(月) 13:46:01.41 ID:o6irrlL00]

>>986
民主の頃と違って人事権掌握して私物化癒着政権完成してんじゃねえか
検察の人事権まで持ってるから逮捕されるべき安倍晋三は逮捕されないという

[0992 不要不急の名無しさん 2020/08/31(月) 13:46:08.80 ID:WGj0aGNb0]

公務員がする事を信用しないのが一番。

[0993 不要不急の名無しさん 2020/08/31(月) 13:51:26.87 ID:Lrjy3aQQ0]

>>980
何月何日にどこで接触しました、とは
出てこないんだ？
そんなアバウトじゃ心配だね

[0994 不要不急の名無しさん 2020/08/31(月) 13:51:28.63 ID:eoW7GBCA0]

埋めるように適当に戯れ言を
・Bluetoothに申請型の専用のIDを持ってる作りだから技術も知識も金もかかってそう
・２週間分の接触者とはいえ多数のデータをやりとりするサーバーが必要で結局金も・・・
・個人情報を抵触せずにさらに強制じゃ無く要請だから全員は入れない→効果は薄い

[0995 不要不急の名無しさん 2020/08/31(月) 13:52:15.61 ID:vqVh81Sl0]

行政訴訟

[0996 不要不急の名無しさん 2020/08/31(月) 13:55:43.49 ID:ZEPLVUXT0]

意味無いやん。

[0997 不要不急の名無しさん 2020/08/31(月) 14:00:31.11 ID:ZEPLVUXT0]

おわろか？？

[0998 不要不急の名無しさん 2020/08/31(月) 14:02:34.21 ID:eoW7GBCA0]

インストールしてそこからポイントとかにつながればね

[0999 不要不急の名無しさん 2020/08/31(月) 14:06:27.43 ID:ZEPLVUXT0]

1000ならサーバル記者まじしね！！

[1000 不要不急の名無しさん 2020/08/31(月) 14:09:45.42 ID:ZEPLVUXT0]

ざえんどや。