【COCOA】接触確認アプリに「陽性情報の登録を総当たりで登録できる」脆弱性 ボランティアが発見し修正依頼→無視され更新もなし [サーバル★]
1: サーバル ★ 2020/08/31(月) 01:03:48.48 SSFJfAIK9.net
■新型コロナウイルス接触確認…(COCOA)で攻撃できる問題 はじめに …COCOAボランティアデバッグ に尽力されている皆様に深い敬意を表します。 併せて、 OSS コミュニティへの悪影響を残している関係行政機関・各社担当者を強く軽蔑します。 project dead? &…183; Issue …773 &…183; Covid-19Radar/Covid19Radar &…183; GitHub COCOA が抱える…ケーション設計上の問題点 攻撃者が COVID-19 感染者になりすまして「陽性…の登録」を比較的容易に行える設計であること 登録に必要な「処理番号」のフォーマットは半角数字8桁であることが明示されてしまっている ブルートフォース対策としてなのか、複数回の入力ミス発生時は「登録回数上限になりました。…ケーションを終了します」として…ケーションが強制終了するが、特にそれ以上のペナルティは確認できない …S による処理番号通知を行っているのであれば、8桁数字ではなくハッシュ値を含む URL による登録など、ブルートフォース対策を含めた登録方法とするべきでは無かったか? 接触記録の条件である「概ね1メートル以内で15分以上」の距離条件を大きく逸脱している可能性があること (注) これは…ケーション固有の問題ではない( Apple-Google API の問題)が、前項の問題点と併せることで脅威となりうるので便宜的に示しておきます この API は端末間距離を Bluetooth の電波強度により測定しているとしているが、実際の距離を担保するものではない 5m 離れていてもこの API による接触記録対象となる可能性がある Corona-Warn-Apps: Studie findet Probleme bei der Kontaktverfolgung im &…214;PNV | heise online これにより後程示す悪用者が居なくとも COCOA 利用者が「陽性者と接触した旨の通知を過剰に受ける」脅威にさらされている可能性が考えられる 日本国内における現行法制下では代案を示すことが難しい問題であるが、まずは第三者による…が求められる COCOA が抱える運用上の問題点 ※一部で報じられている「保健所から COCOA への陽性…の登録に必要な処理番号が即日発行されない」などの問題もありますが、ここでは省略します COCOA により陽性者と接触した旨の通知を受け取ると感染症コールセンターへの連絡を促され PCR 検査を受けることになる 余談レベルだが、感染症コールセンターを始めとする各所への通話料金は COCOA 導入者自身が負担することになる (略) 細かい説明や具体的な表現は控えましたが、この攻撃を仮に受けたとして致命傷に近いダメージを受ける事業者は少なくないと思います。 事業所単位で COCOA の導入を推奨している管理者は直ちに見直すことを推奨します。 … 本日より COCOA の導入を促すテレビCMが放映されているようです。( …検察庁法改正案に抗議します で一躍有名になったきゃりーぱみゅぱみゅ氏などが出演されているようです) 一方で COCOA …ケーションのリリースは 2020年7月13日 にリリースされた v1.1.2 を最後にアップデートが途絶えており、不具合ととれる多数の事象は解決されず、上記に挙げたような問題点が払拭されることも残念ながら当面は無さそうです。 世間では高ぶる正義感からか COCOA の導入を声高らかに勧めたり、従業員やビジネスパートナーに導入を強いている管理者も現れているようです。 このエントリを通じて、そのような方々へ抵抗出来る材料が…できれば幸いです。 余談 冒頭のように COCOA の原型であるとされる Covid-19Radar/Covid19Radar プロジェクトも OSS にあるまじき「放置状態」が続いています。 これが GitHub を買収した企業に所属する人間の所作ですか? IT/ICT や OSS を通じて昨今の COVID-19 感染拡大を発端とする諸問題を解決する動きは支持したいですが、このような杜撰なサービス運営により IT/ICT や OSS に対する世間の期待を悪化させることを強く憂慮しています。 https://anond.hatelabo.jp/20200830172134 https://github.com/Covid-19Radar/Covid19Radar/issues/773
341: 不要不急の名無しさん 2020/08/31(月) 03:23:10 Ysdn1mgx0.net
>>1 対人のセキュリティなんて最高にヘビーな仕事 こればっかりは腕効きのプロに金を払ってやってもらうしかない
3: 不要不急の名無しさん 2020/08/31(月) 01:05:26.57 qbeuBZVq0.net
それCOCOAを無意味に出来るバグじゃん なんで放置されてるの
9: 不要不急の名無しさん 2020/08/31(月) 01:08:00.35 EU93Wb+o0.net
USBの接触が悪いんやろな
13: 不要不急の名無しさん 2020/08/31(月) 01:10:11.68 MQh25Ypw0.net
総当たりで入力を繰り返す事で本物の陽性患者の登録番号を割り出せる上に本人じゃない者がその番号でエントリーできるって事?
18: 不要不急の名無しさん 2020/08/31(月) 01:12:27 OzxhBHSL0.net
これ、有志がフリー開発し始めたプロジェクトを 強引に持ってって国開発としてる奴だろ?
27: 不要不急の名無しさん 2020/08/31(月) 01:18:00.06 F+VUzg060.net
>>18 んで予算をがっぽり取った連中は何もせずボランティアにタダ働きさせたのな。 ピンハネってレベルじゃないぜ。
21: 不要不急の名無しさん 2020/08/31(月) 01:14:39 Xj0ILp6L0.net
修整できるプログラマーがいないだけ
22: 不要不急の名無しさん 2020/08/31(月) 01:15:24 fI/d/umO0.net
総当たりに総当たりがぶつかると新たな宇宙が創世されて楽しいよな!
23: 不要不急の名無しさん 2020/08/31(月) 01:16:08 2n30j8QL0.net
>接触記録の条件である「概ね1メートル以内で15分以上」 この条件を満たすのは、電車等の公共交通機関がほとんどだよね 沖縄ではモノレールあるけど、ほとんどの人は車移動だし、役に立たないな
26: 不要不急の名無しさん 2020/08/31(月) 01:17:46.54 SzVlxozA0.net
そもそも陽性者は出歩かないだろ
165: 不要不急の名無しさん 2020/08/31(月) 02:00:10.35 I8W6Mpoc0.net
>>27 >>160 中世ジャップランドここに極まれり
30: 不要不急の名無しさん 2020/08/31(月) 01:19:41.95 n8k8xcof0.net
手当たり次第に、「ヤツは要注意人物」だとかね。あり得る。
40: 不要不急の名無しさん 2020/08/31(月) 01:27:10.03 rhbDwOK40.net
うちの市はいないからダウンロードしないわ
42: 不要不急の名無しさん 2020/08/31(月) 01:27:26.99 sQrbs2Kd0.net
そんなサーバーアクセスしまくったら不正ってすぐバレるじゃん ID紐づいてんだからさ。 意図しないアクセス大量に送るのは逮捕されるし
71: 不要不急の名無しさん 2020/08/31(月) 01:35:33.01 cH63A09v0.net
>>42 なんの罪で?
100: 不要不急の名無しさん 2020/08/31(月) 01:42:29.00 /IT3oELK0.net
>>42 不正アクセス禁止法や偽計業務妨害だなw 普通に捕まるわな
45: 不要不急の名無しさん 2020/08/31(月) 01:27:51.16 19EQNHqW0.net
まあ実用性はもうないって事か
46: 不要不急の名無しさん 2020/08/31(月) 01:28:28.43 biz++AO50.net
ウイルスを作るのはアンチウィルス会社とか聞くけど、悪用され危機に直面しないと本気にならへんのよね
58: 不要不急の名無しさん 2020/08/31(月) 01:32:01 G6kGo0h10.net
最後の方読むとむしろ修正されない方が都合がいいんじゃないか?抵抗したいんだろ?
63: 不要不急の名無しさん 2020/08/31(月) 01:33:26 UGOXkZBY0.net
通知が来ても保健所がPCR検査受けさせないんだから、入れるだけ無駄だぞ
68: 不要不急の名無しさん 2020/08/31(月) 01:34:10 EQxSy+lr0.net
使えって言う割にポンコツ過ぎじゃね
70: 不要不急の名無しさん 2020/08/31(月) 01:35:11.61 cH63A09v0.net
というか、せめてアルファベット混ぜろよ あと20文字くらいにしろよ
75: 不要不急の名無しさん 2020/08/31(月) 01:36:55.25 nAKBBSNs0.net
攻撃されたら修正しまーす
85: 不要不急の名無しさん 2020/08/31(月) 01:38:32.16 JB+idH/10.net
githubのreadmeはすごいきれいだった
90: 不要不急の名無しさん 2020/08/31(月) 01:40:53.91 MWoTauDB0.net
さすがIT発展途上国
102: 不要不急の名無しさん 2020/08/31(月) 01:42:48.11 rHe7NG0b0.net
一週間で2回も陽性者通知きたよ
109: 不要不急の名無しさん 2020/08/31(月) 01:44:07.60 6NXF50cp0.net
>>102 な、たまに出るよな あれ明らかにイタズラで陽性者登録してるやついるぞ
103: 不要不急の名無しさん 2020/08/31(月) 01:42:50.07 LWgDU0s50.net
そもそもなんでCOCOAなの? CORONAでしょ
110: 不要不急の名無しさん 2020/08/31(月) 01:44:16.39 JB+idH/10.net
仕様が気に入らないから入れない 何時、すれ違ったかくらいは教えろよ 不安になるだけじゃないか
112: 不要不急の名無しさん 2020/08/31(月) 01:44:42 8V8/Pyln0.net
もうこの国はシンガポールや台湾以下 奴隷みたいな勤勉な国民がいるというだけ
121: 不要不急の名無しさん 2020/08/31(月) 01:47:22 WDr3PxOg0.net
アンインストールしても良いのかな? 3密チェッカーいれたし
123: 不要不急の名無しさん 2020/08/31(月) 01:48:13.89 MatIxOs70.net
笑っちゃうね、こんなものを義務化とかほざいてる間抜けが居るかと思うと
131: 不要不急の名無しさん 2020/08/31(月) 01:51:12.84 CUbc1eWO0.net
リリースゴールだからなw 日本の官僚も箱物作ったら終わり それがソフトウェアになっただけ、似たようなもんだ
172: 不要不急の名無しさん 2020/08/31(月) 02:02:05.61 iLGOjs/z0.net
>>131 増税やレジ袋有料化とかも同じ事だわな
161: 不要不急の名無しさん 2020/08/31(月) 01:59:22.04 e7e1b36Y0.net
その内改善するだろう。 誰もそんなチャレンジしないだろう 儲かりもしないし もしばれたら日本中から袋叩きになる事確実だし。
169: 不要不急の名無しさん 2020/08/31(月) 02:01:19.05 DuFhyUD20.net
昭和脳ってもう何やっても世界から取り残されていくだけだよね
171: 不要不急の名無しさん 2020/08/31(月) 02:02:02.26 8GQ24BHA0.net
修正してプルリク無視されてんのかな。 軽蔑する、なんて最大級の侮辱用語だからな。
192: 不要不急の名無しさん 2020/08/31(月) 02:07:51.09 N3I0Ldpk0.net
コロおじで捕まってかなり重かったからな 陽性イタズラにも近寄らないほうがいいぞ
198: 不要不急の名無しさん 2020/08/31(月) 02:09:48.66 ZwzwYsWI0.net
わざわざ何のためにそんなことすんの? 意味なくない? だからそのままなんだろ。
207: 不要不急の名無しさん 2020/08/31(月) 02:13:02.51 MlhRLCgI0.net
そんなことする奴いる?
208: 不要不急の名無しさん 2020/08/31(月) 02:13:15.91 DuFhyUD20.net
ITでもコロナ対策でも中国韓国台湾に完敗だなあ いつになったら追いつけるのやら
219: 不要不急の名無しさん 2020/08/31(月) 02:19:58.37 nAKBBSNs0.net
OSS採用の意味がわかってないだろ OSS採用ってのはなあ 自分が開発に参加するってことだ おまえら「バグってるんじゃが」 管理者「よし!じゃあお前が直せ!」 これがOSSだ 金のかわりに労働力を要求する共産主義の恐ろしさを知れ 「無料のコードが落ちてたウェーイ」などと甘い夢をみるなよ
228: 不要不急の名無しさん 2020/08/31(月) 02:24:04.80 /ROobyro0.net
元請けが、パーソル(通名)テンプスタッフだぞ 小泉総理大臣のケケナカのテンプ ガッチリ政府に食い込んでますがな
236: 不要不急の名無しさん 2020/08/31(月) 02:28:05.36 UnxxE0qR0.net
https://bhozvgt.catsoncrack.com?Cky9eke 「絶対に盗まれない傘」が爆誕。ユーモアあふれる盗難防止シールが面白すぎる(画像)
243: 不要不急の名無しさん 2020/08/31(月) 02:31:15.99 UUqQmYoL0.net
> GitHub を買収した企業 NOKIA も Skype もアレしちゃう企業だから、今更感あるw Minecraft は買われたおかげで教育用が花開いたから、それは評価してる
引用元: http://ai.2ch.sc/test/read.cgi/newsplus/1598803428/
