- (JVNDB-2012-001220) Android 用 Tencent QQPhoto における連絡先情報およびパスワードハッシュを読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001219) Android 用 Kaixin001 における連絡先情報および平文パスワードを読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001218) Android 用 Tencent WBlog および MicroBlogPad におけるドラフトメッセージおよび検索キーワードを読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001217) Android 用 Tencent MobileQQ におけるメッセージおよびフレンドリストを読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001216) Android 用 Tencent QQPimSecure における SMS/MMS メッセージおよび連絡先リストを読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001215) Android 用 AnGuanJia における SMS/MMS メッセージおよび連絡先リストを読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001214) Android 用 360 KouXin における SMS メッセージおよび連絡先リストを読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001213) Android 用 Scan to PDF Free におけるスキャンされたファイルおよび Google アカウントを読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001212) Android 用 QIWI Wallet における金銭に関する情報を読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001211) Android 用 360 MobileSafe における SMS メッセージおよび連絡先リストを読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001210) Android 用 Ming Blacklist Free におけるブラックリストおよび連絡先リストを読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001209) Android 用 Voxofon における SMS 情報を読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001208) Android 用 Limit My Call における通話履歴および連絡先リストを読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001207) Android 用 Nimbuzz における連絡先リストを読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001206) Android 用 CallConfirm における allow/block リストを読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001205) Android 用 UberMedia UberSocial における Twitter 情報を読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001204) Android 用 UberMedia Twidroyd Legacy における Twitter 情報を読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001203) Android 用 AndroidAppTools Easy Filter における SMS メッセージおよび通話履歴を読まれる脆弱性(JVN: 01/27)
- (JVNDB-2012-001202) Android 用 Xiaomi MiTalk Messenger におけるメッセージング情報を読まれる脆弱性(JVN: 01/27)
- (JVNDB-2011-003653) Android の Bluetooth サービスにおける連絡先データを取得される脆弱性(JVN: 01/27)
今回はアプリケーション(特に中国製)の脆弱性がまとまって公開されました。 アプリケーションで保有している情報の保護が不適切ということで、データの暗号化・パーミッション等のデータへのアクセス権の設定不備と思われる内容です。
その中でちょっと気にしてる記述が…
The exposed sensitive contacts information includes user’s all md5s of local phone’s contact numbers. Attacker could easily first construct a rainbow table containing key-value pairs between common phone numbers and their md5s then compare each md5 with each item in rainbow, thus attacker can get all real phone numbers.Vulnerability in MiTalk (米聊) for Android
たぶんこれ、開発した人はアプリケーションが保有しているデータ(ここでは電話番号)を暗号化したつもりなんですよね。 ところが、電話番号は15ケタ以内全てのパターンのハッシュ値をあらかじめ用意してハッシュ同士で突き合わせれば番号を特定できますね。 これと同じ事が、IMEIやIMSIでもできるわけで… 最近「弊社のアプリはIMSI(IMEI)をハッシュにかけてるので安全です」みたいな事を言ってる人たちが非常に不安です。
0 件のコメント:
コメントを投稿