「CERT」タグアーカイブ

2011-02

16

20:45:48

続々: 楽天銀行アプリのセキュリティについて – 結局UDID送信は中止しないし使用理由開示も行わない

技術ネタCERT, UDID, iPhone, アプリ, セキュリティ, プライバシー, 楽天銀行, 端末, 端末IDROCA

前々回、前回の続きをご報告したいと思う。
かなりあれから時間がかかったが、結論としてはシンプルで楽天銀行および楽天CERT・楽天グループとしてはUDIDの送信は停止しないし、また何故送信しているか、どのように利用・管理しているかは「当行不正取引防止システム運営の機密事項」のため一切開示しないとの結論であった。
以下、その詳細。

Continue reading →

2011-01

23

02:40:40

続: 楽天銀行アプリのセキュリティについて – プロトコルを解析してみた

技術ネタCERT, UDID, iPhone, アプリ, セキュリティ, トークン, プロトコル, 楽天銀行, 解析ROCA

結論から書き出すと、結局のところ楽天銀行アプリはUDIDを通常(初期)ログインとクイックログインそれぞれのタイミングでサーバー送出をしていた。この事実からは楽天CERTの説明には不信がある。
さてどうしてくれようというのが現時点な訳だが、まずはどういう仕様で楽天銀行アプリが動作しているのか明らかにしてみよう。楽天CERT担当者からは「即座に悪用できるものではない」との見解ももらっているしまたそもそもリバースエンジニアリングしている訳でもなく公共のインターネットを飛び交っているデータプロトコルについての解説なのだから誰に謀るものでもないだろう。ということで、安心して内容について考察してみる。

Continue reading →