iモードブラウザ2.0の「かんたん認証」を利用した不正アクセス手法が発見される
HASHコンサルティングは11月24日、NTTドコモのiモードIDを利用した認証機能(かんたんログイン)について、不正アクセスが可能となる場合があると発表した。iモードブラウザ2.0のJavaScriptとDNSリバインディング問題の組み合わせにより実現する。同社ではモバイルサイト運営者に対して至急対策を取るよう呼びかけている。
http://japan.zdnet.com/news/sec/story/0,2000056194,20404096,00.htm
ユーザとしての脅威は、「個人情報やメールが盗まれる恐れがある」ということ。
JavaScriptをOFFにすればよいようです。
サイト運営者の場合、なりすましてサービスの悪用が可能になるようです。
iモードIDだけでなくHOSTの正当性をチェックする必要があるそうです。
HOSTの正当性をチェックしているかどうか、とても簡単な見分け方があります。
firefoxのモバイルシミュレーションアドオンであるFiremobilesimulatorを使って
対象サイトにアクセスした時に、普通にサービスが利用できれば、
HOSTのチェックは行われていないと思います。
ちなみに攻撃シナリオはこちら↓
http://www.hash-c.co.jp/info/20091124.html
ゲーム以外のひとりごと
http://japan.zdnet.com/news/sec/story/0,2000056194,20404096,00.htm
ユーザとしての脅威は、「個人情報やメールが盗まれる恐れがある」ということ。
JavaScriptをOFFにすればよいようです。
サイト運営者の場合、なりすましてサービスの悪用が可能になるようです。
iモードIDだけでなくHOSTの正当性をチェックする必要があるそうです。
HOSTの正当性をチェックしているかどうか、とても簡単な見分け方があります。
firefoxのモバイルシミュレーションアドオンであるFiremobilesimulatorを使って
対象サイトにアクセスした時に、普通にサービスが利用できれば、
HOSTのチェックは行われていないと思います。
ちなみに攻撃シナリオはこちら↓
http://www.hash-c.co.jp/info/20091124.html
ゲーム以外のひとりごと