携帯業界の認証事情 Part2

先日の日記で携帯の認証に関しての考察をして、とりあえずキャリア毎のIP制限を行っていれば端末IDやユーザID認証を信用していいのでは無いか?と書いたのだが、更に調べた結果どうも怪しい実態が見えてきたので危険度と合わせて再度纏めてみようと思う。

とりあえず指摘があったので前回のテストに加えて以下を試してみました。

NO uidに指定した値 実際に送信されてくる値
8 %30%31%32%33%34%35%36%37%38%39%61%62*1 1234567890ab

うわ弱っ、駄目じゃん。見事にuidの詐称が成功してしまった…。

DoCoMoのユーザIDの信頼性が地に落ちた瞬間です。

2007-03-01追記)DoCoMoスゲー!昨日は確かに上記の方法で詐称できたのに、今日はもう既に対策されとるし(^^;
今、同じことを試すと以下のメッセージが出るのみでした。

IPサイトの記述に誤りがあるためアクセスできません。
Your request cannot be processed due to a wrong description on the contents provider's site.

しかしこのタイミングで対策されたってのは何なんだろうか、この記事でDoCoMoが動いたとは到底考えにくいので、ホントに偶然に今日この対策が行われる計画でもあったんかな…?

*1:1234567890ab をURLエンコードしたもの

続きを読む