ドコモのAndroid端末にプリインストールされるメディアプレイヤー、端末識別情報を送信する仕様に 54
ストーリー by hylom
過去騒ぎになってるのにまだやるか 部門より
過去騒ぎになってるのにまだやるか 部門より
あるAnonymous Coward 曰く、
NTTドコモのAndoird端末にプリインストールされるメディアプレイヤーはHTTPで外部のコンテンツを取得・再生できるのだが、このとき送信されるHTTPリクエストヘッダに携帯電話の端末識別番号であるIMEI(International Mobile Equipment Identity)が含まれることが話題になっている(メディアプレイヤーの仕様解説ページ、Togetterまとめ)。例のごとく、高木先生はお怒りモードになっておられます。
うはっ (スコア:4, おもしろおかしい)
ログイン画面に動画ファイル置いとけば簡単ログイン可能じゃね?オレって天才!
新サービス? (スコア:2)
お怒りモード
iモードとかspモードに続いて、新しいモードが加わったのかしら。
客に怒りをわざわざ買わせるモード。
# Xi契約で絶賛揉めてる中だけどIDで。
はじける加齢の香り!orz
Re: (スコア:0)
iモードとかの「モード」というのは流行という意味の「モード」で、
形態や状態を示すわけではないらしいですよ。
Re: (スコア:0)
固有IDの問題って (スコア:1)
固有IDの問題は過去にもとりあげられていたので
ご参考までに
「固有IDのシンプル・シナリオ」
http://srad.jp/story/03/08/21/1318205/ [srad.jp]
そりゃひろみちゅ氏も怒るわ (スコア:1)
この記事 [takagi-hiromitsu.jp]で
と危惧していた事が現実に起きたわけですしね。
#そういえば端末固有IDを簡単ログインに使っていたせいで個人情報漏洩事故が発生したの、ちょうど1年前じゃなかったっけ。
Re:そりゃひろみちゅ氏も怒るわ (スコア:1)
もう、API廃止して何も取れなくしちゃえばいんだ。
海外でも似たようなもんなのかもね。(これはWP7の場合) [microsoft.com]
Re:そりゃひろみちゅ氏も怒るわ (スコア:1)
iOSでもちょうど先日リリースされたiOS5からUDID APIが廃止(非公開APIになっただけ?)って流れもありますね。
#これはこれで「悪用出来るAPIがあれば悪用する奴が続出し審査しようも無い→対処法はAPI廃止」という現実を示しており、審査無謬神話に真っ向から投石する話なんですが
Androidの場合、通常のアプリであればインストール時に確認が行われますが、更に踏み込んでシステム専用にした方が良いという議論は前々からあります。
見直す良い機会でしょう。
しかし今回のようにメーカーやキャリアが率先してやらかしてしまうと彼らはシステム権限どころかあらゆるローレベルの裏口を作れてしまうわけですから
OSのセキュリティをより強化しましょうという前に何とかしないといけないヤツがいらっしゃるような。
Re: (スコア:0)
User-agent や HTTP の勝手ヘッダに IMEI を入れるのは問題ではあるけど、それが「脆弱性を作りこんで」いるかというと、かなり微妙。
とりあえず、みんなで偽IMEI付きUser-agent や偽IMEI入り勝手ヘッダを生成してアクセスしまくってやれば、そんな仕様には意味がなくなって変えざるを得なくなるのではないですかね。
Re:そりゃひろみちゅ氏も怒るわ (スコア:3, 参考になる)
とりあえず中古で所有者が変わる上に、ユーザーが任意に変更/クリアできない変数を使うセンスがアレという感じ。
仕様を見た感じでも送信されないってパターンの記載が無いし、感じ的にWindows Media Playerとかの「一意のプレーヤー ID をコンテンツのプロバイダに送信する」が強制ON状態で固定。
WMPは所詮アプリとしてしか固有IDを持ってないからOS再インストールでもすれば変わるという期待が取れる。(GUIDだし)
脆弱性という観点で見るとIMEIの取得には本来「端末のステータスと ID の読み取り」という権限が必要だけど、持たないアプリやWebブラウザがこのメディアプレイヤーを使うことでAndroid OSが持つアクセス制御を回避してIMEIを容易に取得出来る。
このアプリがアンインストールが出来ないROM領域に入れられた場合(ほぼそうなるだろう)、現行のAndroid OSでは「起動させない」という手法が取れない。(root化等した場合は除く)
この状態で出荷された場合、マーケットで修正版が提供されるか、ROM領域のアプリを更新するファームウェアアップデートが有るまで第三者がIMEIを取得出来るという問題が残る。
Re:そりゃひろみちゅ氏も怒るわ (スコア:1)
ユーザーが任意に変更/クリアできない変数
定数と言うべきでは。
Re:そりゃひろみちゅ氏も怒るわ (スコア:1)
確かに定数の方が良かったかもしれません。
サーバー側(コンテンツ提供側)から見たらユーザー毎に変わる値という点で「変数」としてしまいました・・・
# お昼休みがっ
その後、仕様書が更新されて、ユーザー側で拒否可能と追記されました。 (スコア:1)
その後ストーリーのリンク先に有る仕様書が更新され、PlayReady®のライセンス取得を行う通信のみとの記述になり、また「ライセンス取得には、都度ユーザの許諾が必要」との事です。
であればユーザー側で意図しないタイミングでの、相手へのIMEI送出に対する防御は可能なはずです。
ただし、譲渡後どうなるのかは相変わらず気になる所ですし、相変わらず名寄せは可能なのが気になります。
例えば、アンケートに答えて音楽プレゼント的なキャンペーンを複数回した場合、超時間経っても名寄せ可能ですからね。
また、ライセンス取得動作で中間者攻撃が可能ならばやはり意味が無いのですが。
Re: (スコア:0)
仮に、ドコモのプレーヤーがIMEIではなく、端末ごとに特有のドコモプレーヤーIDを持っていてそれを送っていたとします。それで問題は解消するでしょうか?ROM領域に入っているアプリが端末を特定できるIDを送信すれば、名寄せが可能になります。名寄せが可能になることを問題にするなら、取得できたIDで端末が特定できることが本質であって、そのIDがIMEIかどうかは問題に関係ありません。アクセス制御を迂回してIMEIを取得できたことが名寄せ問題を生んでいるのではないのです。
IMEIが取得できることで名寄せ以外の脅威が発生するというなら、IMEIを取得できたことを脆弱性と言う主張も理解できますが、それは何でしょうか。
Re:そりゃひろみちゅ氏も怒るわ (スコア:1)
仰るとおり解決しないでしょう。端末固有の固定値である限り。
諸悪の根源は親コメントの一行目に有る「ユーザーが任意に変更/クリアできない変数を使う」事なのですから。
個人的には下記を満足して欲しいです。
通知する範囲的には
・通信相手毎に異なる事(例えばホスト名ですが、レンタルサーバー等を考えれば粒度が荒すぎるのでURL全体等)
→これで、名寄せに関する問題は有る程度解決できるでしょう。
・基本は通知しない事
→必要であれば要求を画面に出すといった対応も出来たはずです。新規案件なのですし。
・通知するとしても、ホワイトリスト的運用が容易に出来る事
→設定で例え通知有無が可能となっても、ON/OFFのみでは結局常時ONになりかねないです。「設定変えるのが面倒だし」とかで。
時間軸的な観点から
・ユーザーが望みクリアした場合、必ず前回の値が推定出来ない事
→これが出来なければ意味がありません。推定出来なくさせれば良いのですから「通知しない」も含みます。
・可能で有るならば、一定時間(例えばアプリ起動毎・OS起動毎・最長1時間等)で変化する事
→長期間追跡する必要が無いのであれば、これで十分でしょう。
今回のようなメディアプレイヤー自体が有る程度の期間内、同一コンテンツに決まった値を送るというのも「アリ」だと思います。
送ることによってコンテンツ再生中に回線が途中で切断したり、用事(電話等)で再生中断したり、アプリが死んだ際でも、次回中断箇所から再生を続行が可能になりますから。
# 普通はアプリ側が再生済み箇所を覚えていて途中から要求するべきでしょうから、この程度の事でやり取りすべきではないと思うけど。
ユーザー利便性から
・該当アプリ(と、場合によってはセットとなる提供者)の世界で閉じて、外部に影響を与えない事
→これで、最低限アプリのデータ削除で通信先のサーバーには残るが、他のアプリやデータ(メールとか)をそのまま使い続けたり、後日別情報が無ければ名寄せされず該当サービスの利用再開や譲渡が出来る。
・可能であるならユーザーIDといった真にユーザーと結びつく物で識別し、端末に依存しない事
→例えば修理してIMEIが変わったり、アプリが保持していた値が消えたとしても同じサービスを継続して使い続けられる様に。
例え現時点では名寄せ以外の脅威が無かったとしても、OSが持つセキュリティモデルを崩壊させているという点で脆弱性かと。
「何故?」OSがアクセス権を要求する事で取得を制限していたのか。
アプリ開発時に電話機自体や電話機の状態といった物のデータの属性が「個人に関する情報」であるという意識が抜けていた、若しくはアプリ開発側から「個人に関する情報」で有るからこんな仕様は認められないと拒否しなかったor出来なかったのも問題かもしれません。
# 当然最初にこんなプロトコル仕様を考えた方がより救いようが無いと思いますが。
個人的に「個人に関する情報」を杜撰に扱うのは、外部からの入力を信じてそのまま使ってXSSやSQLインジェクションを起こすWebアプリやバッファオーバーランを起こすアプリ並にイケてないと考えます。
どれも「データの中身」のリスクを正しく評価せず、過小評価して使ってるという点で。
Re:そりゃひろみちゅ氏も怒るわ (スコア:1)
偽計業務妨害罪に問われたりして…
しかしTogetterまとめ見たけど、「IMEI知られて何か問題でも?」って意見は結構あるのね。
名寄せの危険性って意外と認識されていないものなのか。結構昔からある話題なのに。
Re: (スコア:0)
名寄せによる危険が明確ではないからじゃない?
一般人は多少行動追跡されたところで、危険といえるほどの状況に陥る可能性は低いだろうし。
Re: (スコア:0)
〜端末識別番号が垂れ流されている世の中〜
話題のダイエット支援サイトを利用しているAさん、毎晩、体重とその日食べたものを入力することで、体重のグラフや栄養面でのアドバイスが出るのでとても便利。もう1年以上利用している。
そのサイトには名前を入れるような会員登録はなくて、データは端末識別番号で管理されている。
端末識別番号だけではそれがAさんだとはわからないから「個人情報ではありません(キリッ」
そのダイエット支援サイトは、利用者の入力したデータを端末
Re: (スコア:0)
ストーカーは危険ですが、ストーカー被害にあう可能性はあまり高くないですから、それでは一般的な同意は得にくいと思いますよ。
逆に、俺にストーカーなんて縁がないよなあ、と危険性を少なく見積もられる可能性もありますし。
クレジットカード番号→不正請求、メールアドレス→スパムメール、みたいに誰でも遭遇するようなものでないと。
Re: (スコア:0)
その例は、「データを売るダイエット支援サイトが悪い」って言われるだけでは。それとも、そのサイトの行為に問題はないと言いきっちゃいますか?端末識別番号を送る行為を非難するために、データを売るサイトの行為をOKってことにしちゃうのは本末転倒だと思いますよ。
ストーカー問題に関しては、ポイントカードとかでも同じ問題があります。ポイントカードの使用情報が売られてなくても、中の人には丸見えだろうってのは思っていても、それでもみんなポイントカードを使ってるわけで。
Re: (スコア:0)
データを得たサイトが、よそへデータを漏らさないのが前提なら、そもそも「名寄せによる危険」なんて説明できないじゃないか。
ポイントカードのくだりはまさにその通り。
今回はスマホ買ったら強制的にポイントカードに加入させられ、使用者がポイントカードを使おうと意識しなくても勝手に使われる可能性があるのが問題。
Re: (スコア:0)
データを得たサイトが、よそへデータを漏らさないのが前提なら、
その割には、そのサイトが名前や住所、メールアドレスなどの情報は漏らさずにいてくれる、というのは前提にするんだよね。金のためなら端末識別番号つきのデータを売るサイトが、なぜか名前や住所に関しては突然倫理的になって売らずにいてくれるという謎の前提がないと成立しない議論に、一体どういう意味があるのでしょうか。
そもそも「名寄せによる危険」なんて説明できないじゃないか。
不特定多数に売るような例
Re: (スコア:0)
まぁ、メールアドレスでログインに比べればなw
プロセッサ・シリアル・ナンバ (PSN)のデジャブ (スコア:0)
携帯の場合では話が通じないのであれば、あなたのパソコンのプロセッサにチップ固有IDがついてて、それがhttpヘッダでダダ漏れになったらどうする~と言ってやれば?
昔Intelプロセッサで騒ぎになったことじゃないか
(携帯でエロはしないから誰も気にしない?)
ちなみに今は偽造対策のためにLSIに固有ID打つのは珍しくない時代です
Re: (スコア:0)
エロ携帯漫画は山のようにあるよ。
Re: (スコア:0)
あなたのパソコンのプロセッサにチップ固有IDがついてて、それがhttpヘッダでダダ漏れになったらどうする~と言ってやれば?
IPアドレスでPCを特定できるケースは多いでしょうし、通信するたびにIPアドレスをさらしているわけですが、それを気にする人は少ないと思います。
IPアドレスを隠すのはよく見かける光景 (スコア:0)
あなたのパソコンのプロセッサにチップ固有IDがついてて、それがhttpヘッダでダダ漏れになったらどうする~と言ってやれば?
IPアドレスでPCを特定できるケースは多いでしょうし、通信するたびにIPアドレスをさらしているわけですが、それを気にする人は少ないと思います。
怪しいサイトを閲覧するときはプロキシでIPを隠して、心配だから二段三段と多段串にして、というのは一昔前のネットではごく普通に見られた光景だと思いますけど。
というか、そういうのを気にする人が少ないなら、なんでPSNのときに反対運動が起こってIntelは断念せざるをえなかったんでしょうか?
Re: (スコア:0)
>怪しいサイトを閲覧するときはプロキシでIPを隠して、心配だから二段三段と多段串にして、というのは一昔前のネットではごく普通に見られた光景だと思いますけど。
あなたの周りでは普通だったんでしょうね。
普通の人は多段プロキシなんて思いもよらないでしょうけど。
Re: (スコア:0)
そういうのを気にする人が少ないなら、なんでPSNのときに反対運動が起こってIntelは断念せざるをえなかったんでしょうか?
全体からみればごく一部の人が反対運動してただけでしょう。ほとんどの人はそんなことがあったことも知らなかったのでは。全世界で数億人の人がPSN反対運動を起こしたとでも思ってるんでしょうか?数千万人でも全体からみれば一部ですね。実際には数万人とかそんなもんでしょ。
Re: (スコア:0)
ええ? 私のIPアドレスは毎日変化していますよ? あなたは違うの?
Re: (スコア:0)
あなたの環境がどうなってるかなんて、誰も気にしないのでわざわざ言わなくてもいいですよ。
固定IPアドレスサービスを使ってなくても、ルーターつないで電源入れっぱなしとか、珍しくもないでしょ。
Re: (スコア:0)
jbeef先生がどんな吊るし方をするのか楽しみ。
なんせ今回は「即吊」らしいから。
Re:そりゃひろみちゅ氏も怒るわ (スコア:1)
じゃ自分は、誰かが「即吊」をネタにしたはてブを登録して、それをTarZ氏が日記に取り上げるのを楽しみにします。
はてブ「後で吊るす」が一瞬にしてココロ温まるタグに [impress.co.jp]
I'm out of my mind, but feel free to leave a comment.
DRMにIMEIが必要 (スコア:0)
ではあるんだけどね。個人+端末でコントロールするから
でもHTTPheaderやUserAgentで駄々漏れする理由はよくわからんけど
Re:DRMにIMEIが必要 (スコア:2)
端末に紐付けるDRMなど死んでしまえということですよ。最低でもログインIDと紐付けなきゃ。
Re:DRMにIMEIが必要 (スコア:1)
やめて!
そこからのぼろもうけで濡れ手に粟の業界関係者が死んじゃう!(棒
#うん、死ねばいいと思うよ
RYZEN始めました
Re: (スコア:0)
>DRMにIMEIが必要
機種変の度にもう一回買えってか。アホじゃねえの。
Re:DRMにIMEIが必要 (スコア:1)
そうですよ。
音楽配信なんかは基本端末単位です
Re:DRMにIMEIが必要 (スコア:1)
>音楽配信なんかは基本端末単位です
それでユーザからはクレーム出ないの?
#なんというボロ儲け商売。
Re:DRMにIMEIが必要 (スコア:2)
なんでIMSIにしないのか。
コピーガードで端末からコピーできないと考えるとIMEIなのかねぇ
Re: (スコア:0)
だからこそ、iCloudがどうの、JASRACがどうのってホットな話題になっているわけでして。
Re: (スコア:0)
そういうのはこれを機に滅びて頂きたく・・・。
機種変の度に (スコア:0)
>機種変の度にもう一回買えってか。アホじゃねえの。
ある程度安ければそれでもいいと思うんですけどね。
ジュークボックスで1回聴くごとに100円払ってたこと考えると。
ガラケエンジニアはこっち来んな。ガラケに籠ってろ。 (スコア:0)
なんという正論。
言いたいことを全て代弁されてしまった。
エバンジェリストとか胡散臭いと思っていたが、高木先生になら抱かれても良いわ。
# 一昨日のdocomo秋冬モデルの発表を見て、先週iPhone4Sを買わなかった俺GJ
# Nexus来るならdocomoのままで良いや、このままdocomoでファミ割り継続しよ
# とか思ってたら、やはりdocomoは腐ってたでござる
Re: (スコア:0)
でもスマホ側からすると英語圏で既にAndroidもiOSも色々と問題噴出しまくっていて、
セキュリティシステムの技術的問題点や改善のための方策について議論されているとこに
ホームグランドがガラケの高木先生に乗り込んでこられても正直邪魔というか。
既に事態はもっと深刻かつ複雑になってんのに今更何しに来たんだガラケに帰れと。
しかもUDIDも電話帳もお漏らし放題フォンで「Androidは危ない(キリッ」とかtweetしてるバカの群れを引き連れてきて引っ掻き回すのマジ勘弁。
今回のようにガラケ畑の話になる対ドコモに関しては重宝することも否定はしないが。
Re: (スコア:0)
とは言っても、スマフォの問題点の相当数がガラケーが何年も前に通った道だったりするのも確か。
パンクした車輪の再発明なんてのはちと、スマートとは言えないと思うんだよな。
とはいえ (スコア:0)
IMEI抜かれて何が出来るっていうんだ?
docomoが何故IMEIを必要としているか想像するしかないが、
どうせdocomoが売った端末かどうかの判別がしたいだけだろうし、
何が何でも識別情報渡したくないっていえば何のサービスも受けられないだろ。
Re:とはいえ (スコア:1)
IMEIを渡す必要は無い。
docomo IDってものがあるんだし、ID/Passwordでログイン/認証でいいじゃない。
ログイン状態維持したいならcookieってものがあるんだし、(十分に長い)セッションIDを発行したって"ユーザーを一意に管理"は可能だよね。
少なくとも消費者側からのメリット(端末変えたら新規購入しなきゃいけないってことが無くなる)を考えたらdocomo IDで何か不都合があるのかってことだよ。
あとは他人のIMEIを詐称して勝手にコンテンツ購入できてしまう可能性もゼロではない。
個人情報との紐付けのしやすさってのもあるみたいだけど、こっちの方はよくわからない。
# TwitterのTLみてると"やばい!やばい!"ばかりで簡単に"どうやばいのか"を説明する人がなかなかいない。
# かんたんログインのような仕組みにはしないから大丈夫だとdocomoが突っ撥ねる可能性も考えて
# 具体的にどのような使われ方をするのかdocomoに聞くのと、どうなったらどうやばいのかを"簡潔に"
# 説明する必要があると思うんだよなぁ。docomoだし。
Re: (スコア:0)
問題点は2点あって
(1)リセット不能の固有IDによりプライバシー情報が紐付けられる→ユーザのプライバシーが意図しない形で濫用される危険がある
(2)サイト横断の固有IDなので認証に使うとセキュリティホールができる→そもそも「真っ当な」用途にも使えない
の似て非なる別個の問題が独立して存在してるんだよね。
twitterに関してはただ祭で騒いでるだけの輩が多い。高木先生だって商売柄煽ってナンボみたいなところはある。
だからいまだに無承認で加入者固有番号垂れ流しのガラケーとか、先週まで無承認で端末固有ID垂れ流してたiPhoneを片手に、「Androidこわい」とか言ってる滑稽な輩が大量発生する。
みんな自分の電話のことなんてろくに知らないし困ってもいない、というひどい話とも言えるんだけどね。もうちょっと総務省がきっちり枠組み作るべきだと思うわ。
Re: (スコア:0)
IMEIを抜くのはdocomoじゃない。
メディアファイルが置いてある全サイト・全企業が自動的に抜けるようになるんだよ。