【COCOA】接触確認アプリに「陽性情報の登録を総当たりで登録できる」脆弱性 ボランティアが発見し修正依頼→無視され更新もなし [サーバル★]
レス数が1000を超えています。これ以上書き込みはできません。
■新型コロナウイルス接触確認アプリ(COCOA)で攻撃できる問題
はじめに
#COCOAボランティアデバッグ に尽力されている皆様に深い敬意を表します。
併せて、 OSS コミュニティへの悪影響を残している関係行政機関・各社担当者を強く軽蔑します。
project dead? · Issue #773 · Covid-19Radar/Covid19Radar · GitHub
COCOA が抱えるアプリケーション設計上の問題点
攻撃者が COVID-19 感染者になりすまして「陽性情報の登録」を比較的容易に行える設計であること
登録に必要な「処理番号」のフォーマットは半角数字8桁であることが明示されてしまっている
ブルートフォース対策としてなのか、複数回の入力ミス発生時は「登録回数上限になりました。アプリケーションを終了します」としてアプリケーションが強制終了するが、特にそれ以上のペナルティは確認できない
SMS による処理番号通知を行っているのであれば、8桁数字ではなくハッシュ値を含む URL による登録など、ブルートフォース対策を含めた登録方法とするべきでは無かったか?
接触記録の条件である「概ね1メートル以内で15分以上」の距離条件を大きく逸脱している可能性があること
(注) これはアプリケーション固有の問題ではない( Apple-Google API の問題)が、前項の問題点と併せることで脅威となりうるので便宜的に示しておきます
この API は端末間距離を Bluetooth の電波強度により測定しているとしているが、実際の距離を担保するものではない
5m 離れていてもこの API による接触記録対象となる可能性がある
Corona-Warn-Apps: Studie findet Probleme bei der Kontaktverfolgung im ÖPNV | heise online
これにより後程示す悪用者が居なくとも COCOA 利用者が「陽性者と接触した旨の通知を過剰に受ける」脅威にさらされている可能性が考えられる
日本国内における現行法制下では代案を示すことが難しい問題であるが、まずは第三者による検証が求められる
COCOA が抱える運用上の問題点
※一部で報じられている「保健所から COCOA への陽性情報の登録に必要な処理番号が即日発行されない」などの問題もありますが、ここでは省略します
COCOA により陽性者と接触した旨の通知を受け取ると感染症コールセンターへの連絡を促され PCR 検査を受けることになる
余談レベルだが、感染症コールセンターを始めとする各所への通話料金は COCOA 導入者自身が負担することになる
(略)
細かい説明や具体的な表現は控えましたが、この攻撃を仮に受けたとして致命傷に近いダメージを受ける事業者は少なくないと思います。
事業所単位で COCOA の導入を推奨している管理者は直ちに見直すことを推奨します。
まとめ
本日より COCOA の導入を促すテレビCMが放映されているようです。( #検察庁法改正案に抗議します で一躍有名になったきゃりーぱみゅぱみゅ氏などが出演されているようです)
一方で COCOA アプリケーションのリリースは 2020年7月13日 にリリースされた v1.1.2 を最後にアップデートが途絶えており、不具合ととれる多数の事象は解決されず、上記に挙げたような問題点が払拭されることも残念ながら当面は無さそうです。
世間では高ぶる正義感からか COCOA の導入を声高らかに勧めたり、従業員やビジネスパートナーに導入を強いている管理者も現れているようです。
このエントリを通じて、そのような方々へ抵抗出来る材料が提供できれば幸いです。
余談
冒頭のように COCOA の原型であるとされる Covid-19Radar/Covid19Radar プロジェクトも OSS にあるまじき「放置状態」が続いています。
これが GitHub を買収した企業に所属する人間の所作ですか?
IT/ICT や OSS を通じて昨今の COVID-19 感染拡大を発端とする諸問題を解決する動きは支持したいですが、このような杜撰なサービス運営により IT/ICT や OSS に対する世間の期待を悪化させることを強く憂慮しています。
https://anond.hatelabo.jp/20200830172134
https://github.com/Covid-19Radar/Covid19Radar/issues/773 >>939
うちもビエラ買ってアプリはいってるからとネトフリとかYoutubeとか使おうと思ったら接続前に接続情報取得の同意をもとめる画面が出る
読むとそれぞれのアプリの接続をパナソニックが取るという
んでそれ以上進まず問い合わせした
そしたら法的同意画面はそこに書いてある通りで説明はできないという
法務にも繋いでもらえない
つまり裁判でも起こさないとこっちは言われるままに使うしかない
でアプリは使うのをやめてる これどうやってんだ?
陽性者の処理番号を漁って登録できちゃうよってこと?
代わりに登録してくれるなら親切なんじゃ
ぜんぜん関係ない陰性の人も陽性にできる? >>954
登録するスマホの人が全然関係ない人だと意味ないんじゃね >>948
まあ個人情報うんちゃらだから自動はむずかしいな >>953
あとテレビはそういうわけでネットに繋いでない
あとブルーレイレコーダーはネット繋ぐと漢字変換で余計な芸能テレビ番組名を呼び込んでくる仕様だし
使えない >>948
個人情報ガーは、人権ガーの人がいるからこの仕様になった。 >>867
ニュース観てない?
アプリが役に立ったケース出てるよ どうせ>>1みたいな攻撃する奴はチョンなんだから、
チョンを日本から排除すれば問題ない >>945
成り済ます必要もなく自己申告できるじゃん >>959
ということは総当たり攻撃ももうできるのか >>957
酷いのはDLNA(ビエラリンク)
テロップまみれで消すのに7回くらいボタン押さなきゃならんとか
どんな障害者雇用の知的障害者に作らせたんだか 「陽性情報の登録を総当たりで登録できる」脆弱性
脆弱なのか強力なのかよくわからんな >>962
お前すげえ何も分かってねえじゃんw二度とレスするな なんで成りすまして登録する必要がある?
クレカの番号とか盗めるのか? ここ見てると作るのが嫌になりそう
保健所がログインして陽性登録出来ればいいか スマホのアプリなんだから数字入力させないでQRコード読ませろよw OSSじゃないもののほうが放置されてるわ
しかも盛大にスパイウェア入ってるし ハッシュがどうのこうのじゃなくて桁数が少ないと無作為に数字入れたら当たりやすいという事だぜ?
逆に20桁もあったら入力してらんないw
QRにしろ こないだ通知来た
心当たりはぼっち昼飯で店入った時の他のテーブルの客ぐらい
症状は出てない ユーザが要請者登録をするからおかしくなるんだろ?
なんで管理者がやらんの? >>981
管理者がユーザーの登録IDを取得出来ないからだろ?
個人情報取扱規程ななにかに抵触するんじゃね? 実は登録は既に無効化されている
入力が出来ても登録はされない
つまり罠だ
誰が虚偽の入力をするか監視しているらしいぞ(噂) >>981
個人情報ガー、人権ガーの人に配慮した結果こうなった。 >>877
民主がその構造潰すって仕分けしたら、逆に潰されちゃったしな
官僚がサボタージュしたら今の力ない政治家には手も足も出ない
この問題も含めて、まず国民が正しい選択をする知識と思考を身につけないと日本は良くならない
資料に裏付けられた事実認識と思想や局所的損得にとらわれない自由な思考が大切 医療機関がコロナ認定した時点で医療機関が登録するようにすればいいやん >>47
そんな頭で連投してんのかw
偽計業務妨害だよ。実刑くらってこい。 >>986
民主の頃と違って人事権掌握して私物化癒着政権完成してんじゃねえか
検察の人事権まで持ってるから逮捕されるべき安倍晋三は逮捕されないという >>980
何月何日にどこで接触しました、とは
出てこないんだ?
そんなアバウトじゃ心配だね 埋めるように適当に戯れ言を
・Bluetoothに申請型の専用のIDを持ってる作りだから技術も知識も金もかかってそう
・2週間分の接触者とはいえ多数のデータをやりとりするサーバーが必要で結局金も・・・
・個人情報を抵触せずにさらに強制じゃ無く要請だから全員は入れない→効果は薄い インストールしてそこからポイントとかにつながればね このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 13時間 5分 57秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。