st52693_cocoaps-01

1 : サーバル ★ 2020/08/31(月) 01:03:48.48 ID:SSFJfAIK9.net

■新型コロナウイルス接触確認アプリ(COCOA)で攻撃できる問題

以下一部抜粋

●攻撃者が COVID-19 感染者になりすまして「陽性情報の登録」を比較的容易に行える設計である 

登録に必要な「処理番号」のフォーマットは半角数字8桁であることが明示されてしまっている。 
ブルートフォース対策としてなのか、複数回の入力ミス発生時は「登録回数上限になりました。アプリケーションを終了します」としてアプリケーションが強制終了するが、特にそれ以上のペナルティは確認できない 。


●接触記録の条件である「概ね1メートル以内で15分以上」の距離条件を大きく逸脱している可能性があること

端末間距離を Bluetooth の電波強度により測定しているとしているが、実際の距離を担保するものではない。
 
5m 離れていても接触記録対象となる可能性がある


●悪用することで攻撃対象を陽性にして自宅待機にさせることができる。

事業所単位で COCOA の導入を推奨している管理者は直ちに見直すことを推奨します。


本日より COCOA の導入を促すテレビCMが放映されているようです。
一方で COCOA アプリケーションのリリースは 2020年7月13日 にリリースされた v1.1.2 を最後にアップデートが途絶えており、不具合ととれる多数の事象は解決されず、上記に挙げたような問題点が払拭されることも残念ながら当面は無さそうです。

全文はソースで




2 : 不要不急の名無しさん 2020/08/31(月) 01:04:22.61 ID:5lQZ8ep60.net

つーかここ1ヶ月更新もないよな



3 : 不要不急の名無しさん 2020/08/31(月) 01:05:26.57 ID:qbeuBZVq0.net

それCOCOAを無意味に出来るバグじゃん
なんで放置されてるの



■うっかり読んじゃう記事

6 : 不要不急の名無しさん 2020/08/31(月) 01:06:44.36 ID:3qJg2W+z0.net

こんなもん使う方がバカ



8 : 不要不急の名無しさん 2020/08/31(月) 01:07:39.01 ID:TDXyPYV50.net

陽性になりすませるってこと?
足つくんだから迷惑行為で逮捕すりゃいい



11 : 不要不急の名無しさん 2020/08/31(月) 01:09:00.71 ID:LDpmI0lZ0.net

日本の技術的限界。やるなら金かけて作れや。、プライバシーなんかいらん。



13 : 不要不急の名無しさん 2020/08/31(月) 01:10:11.68 ID:MQh25Ypw0.net

総当たりで入力を繰り返す事で本物の陽性患者の登録番号を割り出せる上に本人じゃない者がその番号でエントリーできるって事?



18 : 不要不急の名無しさん 2020/08/31(月) 01:12:27 ID:OzxhBHSL0.net

これ、有志がフリー開発し始めたプロジェクトを
強引に持ってって国開発としてる奴だろ?



21 : 不要不急の名無しさん 2020/08/31(月) 01:14:39 ID:Xj0ILp6L0.net

修整できるプログラマーがいないだけ



25 : 不要不急の名無しさん 2020/08/31(月) 01:16:31 ID:52C8pXkq0.net

会社で強制的に入れさせられたが



30 : 不要不急の名無しさん 2020/08/31(月) 01:19:41.95 ID:n8k8xcof0.net

手当たり次第に、「ヤツは要注意人物」だとかね。あり得る。



35 : 不要不急の名無しさん 2020/08/31(月) 01:23:29 ID:3LyDvDyF0.net

この説明がわかりやすかった

任意の iOS/Android 端末に COCOA をインストール

攻撃したい場所へ移動、その場に15分以上留まる(端末を物陰に隠すなどすることでも代替可能)

任意の日数経過後に「陽性情報の登録」をなりすまし実行

攻撃対象に接触通知が届き、 PCR 検査実施の後に保健所から自宅待機を促される



78 : 不要不急の名無しさん 2020/08/31(月) 01:37:48.18 ID:zekwXH7H0.net

>>35
>>「陽性情報の登録」をなりすまし実行
これが現状誰でも簡単にできる状態なのか



64 : 不要不急の名無しさん 2020/08/31(月) 01:33:49 ID:cH63A09v0.net

>>35
特定の人を待機させたいならそれだけど
無差別ならもっとシンプルでは

そもそも8桁を入力する際のコツを教えてくれよ



83 : 不要不急の名無しさん 2020/08/31(月) 01:38:18.55 ID:3LyDvDyF0.net

>>64
それらしい情報は出回ってるな
簡単に解析できるから、そりゃそうか



42 : 不要不急の名無しさん 2020/08/31(月) 01:27:26.99 ID:sQrbs2Kd0.net

そんなサーバーアクセスしまくったら不正ってすぐバレるじゃん
ID紐づいてんだからさ。
意図しないアクセス大量に送るのは逮捕されるし



108 : 不要不急の名無しさん 2020/08/31(月) 01:44:03.92 ID:cH63A09v0.net

>>42
入力できるのだから、操作よくわからずガチャってました
と言われたら反論できない。普通は複数回入力を阻止するもの。



45 : 不要不急の名無しさん 2020/08/31(月) 01:27:51.16 ID:19EQNHqW0.net

まあ実用性はもうないって事か



49 : 不要不急の名無しさん 2020/08/31(月) 01:29:42 ID:FkiblELh0.net

ボランティアなのに批判されてやる気なくしたんじゃなかったっけ?



52 : 不要不急の名無しさん 2020/08/31(月) 01:30:59.88 ID:lJwUubvy0.net

これわかってた
誰も指摘しないのが不思議だった
いくらでもなりすましで陽性者登録できる



59 : 不要不急の名無しさん 2020/08/31(月) 01:32:05 ID:i6wjn6fc0.net

アプリから通知ありましたけど
と言って保健所に電話しても
たいていは、自宅待機だけ伝えられて
ろくに検査してくれないそうだからね
何のためのアプリなんだろうね



63 : 不要不急の名無しさん 2020/08/31(月) 01:33:26 ID:UGOXkZBY0.net

通知が来ても保健所がPCR検査受けさせないんだから、入れるだけ無駄だぞ



68 : 不要不急の名無しさん 2020/08/31(月) 01:34:10 ID:EQxSy+lr0.net

使えって言う割にポンコツ過ぎじゃね



70 : 不要不急の名無しさん 2020/08/31(月) 01:35:11.61 ID:cH63A09v0.net

というか、せめてアルファベット混ぜろよ
あと20文字くらいにしろよ



73 : 不要不急の名無しさん 2020/08/31(月) 01:36:37.04 ID:alRMllQX0.net

結局このアプリってなんだったんだ
やってる感?
どっかに予算流したかっただけ?



75 : 不要不急の名無しさん 2020/08/31(月) 01:36:55.25 ID:nAKBBSNs0.net

攻撃されたら修正しまーす



77 : 不要不急の名無しさん 2020/08/31(月) 01:37:17.62 ID:2cpEVHDb0.net

どこにこれ依頼してんの?
まともに対応できるITの企業は日本にないんか



97 : 不要不急の名無しさん 2020/08/31(月) 01:41:37 ID:cH63A09v0.net

>>77
https://www.persol-pt.co.jp/
ここ

>厚労省は開発をパーソル&プロセステクノロジー(東京都江東区)に委託。
>同社は日本マイクロソフトとFIXER(東京都港区)に再委託したという。



80 : 不要不急の名無しさん 2020/08/31(月) 01:38:08.86 ID:AO+N4A6u0.net

なんでユーザに登録させる仕様にしちゃったんだろうねえ



90 : 不要不急の名無しさん 2020/08/31(月) 01:40:53.91 ID:MWoTauDB0.net

さすがIT発展途上国



102 : 不要不急の名無しさん 2020/08/31(月) 01:42:48.11 ID:rHe7NG0b0.net

一週間で2回も陽性者通知きたよ



109 : 不要不急の名無しさん 2020/08/31(月) 01:44:07.60 ID:6NXF50cp0.net

>>102
な、たまに出るよな
あれ明らかにイタズラで陽性者登録してるやついるぞ



115 : 不要不急の名無しさん 2020/08/31(月) 01:45:02 ID:cH63A09v0.net

>>102
殆ど家にいるだけなのに1回きたわ

というか通知だけきて、記録には残ってない謎挙動



110 : 不要不急の名無しさん 2020/08/31(月) 01:44:16.39 ID:JB+idH/10.net

仕様が気に入らないから入れない
何時、すれ違ったかくらいは教えろよ
不安になるだけじゃないか



121 : 不要不急の名無しさん 2020/08/31(月) 01:47:22 ID:WDr3PxOg0.net

アンインストールしても良いのかな?
3密チェッカーいれたし



125 : 不要不急の名無しさん 2020/08/31(月) 01:48:40.52 ID:qmZ2fHJr0.net

放置状態が続いてるって、プルリクも無視してるんだとしたらひどいな。
GitHub 見てないけど。



126 : 不要不急の名無しさん 2020/08/31(月) 01:49:17.19 ID:yz/dtTya0.net

さっぱりわからんけど怪しいのでやめておく!



127 : 不要不急の名無しさん 2020/08/31(月) 01:50:21.75 ID:2iQYJE+l0.net

な、厚労省だろ



131 : 不要不急の名無しさん 2020/08/31(月) 01:51:12.84 ID:CUbc1eWO0.net

リリースゴールだからなw
日本の官僚も箱物作ったら終わり
それがソフトウェアになっただけ、似たようなもんだ



135 : 不要不急の名無しさん 2020/08/31(月) 01:52:40.98 ID:6NXF50cp0.net

ここまで信用の低いアプリだとどれが本当の警告なのか分からなくなる もうダメじゃね?



136 : 不要不急の名無しさん 2020/08/31(月) 01:52:51.70 ID:rWwDm0+j0.net

1984年待ったなし



143 : 不要不急の名無しさん 2020/08/31(月) 01:54:34 ID:6NXF50cp0.net

誰か台湾からIT担当大臣みたいな人借りてこいよ



157 : 不要不急の名無しさん 2020/08/31(月) 01:58:46.60 ID:3LyDvDyF0.net

あ、フォーマットを解説してるサイトをみっけ
この処理番号の仕様を決めた奴はアホだわ



163 : 不要不急の名無しさん 2020/08/31(月) 01:59:59.46 ID:7/OIexz90.net

オマエラやめろよ!
ダメ!絶対!



167 : 不要不急の名無しさん 2020/08/31(月) 02:00:44.51 ID:WDr3PxOg0.net

悪戯で振り回されるのごめんだから、アンインストールした



168 : 不要不急の名無しさん 2020/08/31(月) 02:01:11.62 ID:3IaVa/Pr0.net

外注先が再委託したみたいで開発者わからなくて修正できないんだわ許してくれ



175 : 不要不急の名無しさん 2020/08/31(月) 02:02:12.14 ID:RZ00cxdj0.net

ブルートフォースてなんなん



182 : 不要不急の名無しさん 2020/08/31(月) 02:04:13.11 ID:cHasfSaG0.net

>>175
総当たり
パスワードを片っ端から入力していく
普通は数回間違えたらロックかけるとか対策してる



178 : 不要不急の名無しさん 2020/08/31(月) 02:03:06.28 ID:Lkp6yTh30.net

ダメダメアプリなのは分かってるからインストしないけど、会社からの圧力がハンパない。



180 : 不要不急の名無しさん 2020/08/31(月) 02:03:33 ID:2i6SZUMU0.net

もうGoogleに作ってもらえよ



184 : 不要不急の名無しさん 2020/08/31(月) 02:05:06.34 ID:6NXF50cp0.net

>>180
いやマジそれがいいとおもう



205 : 不要不急の名無しさん 2020/08/31(月) 02:12:56.13 ID:V3PCdrAm0.net

>>180
そっちの方が間違いなくちゃんとしたものができると思う。個人情報ガーが猛反対するだろうけど。そもそも老害だらけの日本政府が個人情報守る能力ないのに



190 : 不要不急の名無しさん 2020/08/31(月) 02:05:56.71 ID:cH63A09v0.net

保健所で端末かざして登録するようにすればいいのに
変なところでプライバシー配慮した結果がこの脆弱性



207 : 不要不急の名無しさん 2020/08/31(月) 02:13:02.51 ID:MlhRLCgI0.net

そんなことする奴いる?



211 : 不要不急の名無しさん 2020/08/31(月) 02:15:44.65 ID:/ROobyro0.net

>>207
手打ちするバカは、いないだろw
ソフトを走らせるだけなら暇人がする・・・



215 : 不要不急の名無しさん 2020/08/31(月) 02:17:58.34 ID:dZG2AGLC0.net

こんなのでも
みんな藁にもすがる気持ちでインストールしてるんだよ・・・
ちゃんとしろよな



231 : 不要不急の名無しさん 2020/08/31(月) 02:24:49.30 ID:APflJfp/0.net

今、2割くらいアプリダウンロードされてるんだっけ?
皆素直だよね…



249 : 不要不急の名無しさん 2020/08/31(月) 02:34:43 ID:O8pH6zUE0.net

別に実害無いだろ、しかも登録端末は調べれば判るからな



■これも見てみようかなって記事

http://ai.2ch.sc/test/read.cgi/newsplus/1598803428/


この記事のタグ
Googleニュースで配信中!
今人気の記事
    人気サイトの最新記事