新型コロナウイルス接触確認アプリ(COCOA)で攻撃できる問題
はじめに#COCOAボランティアデバッグ に尽力されている皆様に深い敬意を表します。 併せて、 OSS コミュニティへの悪影響を残している関係行政機関・各社担当者を強く軽蔑します。 project dead? · Issue #773 · Covid-19Radar/Covid19Radar · GitHub COCOA が抱えるアプリケーション設計上の問題点攻撃者が COVID-19 感染者になりすまして「陽性情報の登録」を比較的容易に行える設計であること登録に必要な「処理番号」のフォーマットは半角数字8桁であることが明示されてしまっているブルートフォース対策としてなのか、複数回の入力ミス発生時は「登録回数上限になりました。アプリケーションを終了します」としてアプリケーションが強制終了するが、特にそれ以上のペナルティは確認できないSMS による処理番号通知を行っているのであれば、8桁数字
「姿なき感染者」のナゾ、接触通知アプリから70人に連絡あったのに…
【読売新聞】 新型コロナウイルス対策のスマホ用アプリで「感染者と接触した」との通知が福井県敦賀市職員24人に届いた問題で、県などは25日、県内で同様に通知を受けたのが、市職員を中心に計70人に上ると明らかにした。現時点で、同市役所を
接触確認アプリ「COCOA」が端末と陽性者情報を紐づけできる可能性 | Qrunch(クランチ)
厚生労働省が公開した接触確認アプリ「COCOA」のベースであるCovid19Radarは、処理番号登録時にDeviceCheckのTokenを送信しています。DeviceCheckでは端末を直接識別することはできませんが、端末に対して永続的なフラグを設定することができるため、端末と「陽性者である」という情報を紐づけできる可能性が存在します。 DeviceCheckについて DeviceCheckはiOSに組み込まれた、端末の整合性を検証するためのフレームワークです。このフレームワークでは端末を検証したり、端末ごとに2bitの値を設定することができます。 https://developer.apple.com/documentation/devicecheck クライアント側とサーバー側の処理で構成されます。 クライアント側ではTokenを取得してサーバーに送信します サーバー側ではToke
接触確認アプリは開発手法の選択から間違ってた
「ソースがオープンであること」と「OSSであること」を混同してる人が多すぎない? 発注者がいてそれを引き受けたコミュニティ・チームがあって、緩いながらも納期が設定されていたわけでしょ? これはソースがオープンなだけで OSS 開発ではないよ。 シビックテックか知らんけどかっこいいことしたい偉い人と自意識過剰なエンジニアが運悪くマッチしたプロジェクトでしょ。 そもそも「とりあえずリリースして素早く直す」みたいなのはユーザがサービスを選んで使ってれてるから通用する話であって ITリテラシーのない数百万人が適切なインストラクションもないのにバグだらけのソフトウェア掴まされて文句が出ないはずないでしょ。 もう一回良く考えて欲しいんだけど シンプルで限定的なソフトウェア技術的な新規性は無しリリースまでのスピード重視利用者はITリテラシ無し発注者の予算はほぼ無限この条件でなぜボランティアベースの開発手
接触確認アプリに関する炎上騒動と誹謗中傷問題
新型コロナウイルス接触確認アプリ(COCOA)において、ベースとなるプロジェクトの開発者に関連した炎上騒動が発生していた。この炎上騒動の直接的な火種となったのは、高木浩光氏の下記のツイートであろう。 再現した。基礎的な例外処理をわかってないプログラマーか。この状態になるとアプリを削除して再インストールしても、エラーが出て落ち続けてしまう。しかもiOSの設定でそれをオンにしようとしても、アプリがないとなって設定変更できない。詰んだ。 (午後8:39 · 2020年6月19日) https://mobile.twitter.com/HiromitsuTakagi/status/1273943571599486976 ちなみに、この記事を執筆するにあたり改めて高木浩光氏のツイートを追っているのだが、「あれ?思ったよりマイルドだった。初見では『さすがにこれはないわ。テメーは今、言ってはならない事を
開発コミュニティー破綻? 接触確認アプリの問題点と批判の在り方で激論
厚生労働省が6月19日に配信を始めた、新型コロナウイルス感染症(COVID-19)陽性者に濃厚接触した可能性を通知するスマートフォンアプリ「新型コロナウイルス接触確認アプリ(COCOA)」の不具合や開発体制を巡って、ネット上で議論が巻き起こっている。アプリのベースになったオープンソースプロジェクト「COVID-19Radar」の中心的人物である廣瀬一海さんは自身のTwitterアカウントで、「この件でコミュニティーはメンタル共に破綻した」として、次のリリースで開発から離れ、委託会社などに託したい考えを示した。 見つかった不具合などに厳しい批判 議論の発端となったのは、COCOAに見つかったいくつかの不具合やアプリリリース上の手続きの問題点などだ。 中でも議論の的になったのは、「iOS版で初回起動時にBluetoothへのアクセスを許可しないとアプリを再度起動できなくなる」ということと、「A
接触確認アプリがもたらすプライバシーリスク
リリースもされたので、考えていたことを少し書いておこうと思う。 接触確認アプリは、仕組みの説明やQ&Aにおいて、個人情報や位置情報を収集することはないと度々説明されている。だからといって利用者の個人情報や位置情報が、不本意に第三者に漏れるといったことが起きないかというと、そういうわけでもないだろう。接触確認アプリ単体では個人情報や位置情報の収集が行われなくとも、別の第三者や企業から個人情報や位置情報が収集可能になる機会は増加する。 アプリ利用者の場合アプリを利用するユーザーの場合を想定してみよう。 接触確認アプリが普及すればするほど、Bluetoothを普段からオンにしたままにするユーザーの割合が増えることになるだろう。普段はBluetoothをオフにして必要な時だけオンにしていたユーザーは行動を変化させることになるし、今までBluetooth対応機器やビーコンを用いたサービスを使ったこと
接触確認アプリの不具合という問題の所在は、OSSコミュニティではなくリリースプロセスの不備にあるのでは|Hal Seki
接触確認アプリの不具合という問題の所在は、OSSコミュニティではなくリリースプロセスの不備にあるのでは いよいよリリースされた厚生労働省の接触確認アプリですが、「ストアで接触確認アプリと検索しても見つからない」「利用開始の日付が更新されてしまう」「初期設定時にBluetoothの許可をしないとアプリが立ち上がらない」などといった不具合が見つかり、Twitter 等で、接触確認アプリのベースとなるコードをオープンソースで開発し提供した Covid19Radar コミュニティ(以下OSSコミュニティ)に対して批判が出ています。 しかし、接触確認アプリの不具合に対して、問題の所在をOSSコミュニティそれ自体と捉えて、殊更これを責めるというのは、日本のOSSコミュニティの文化醸成のみならず、IT業界にとっても良いことでは無いと考えます。 「誰が悪い」といった責任論は問題の所在の全容を見えにくくして
数字11桁で他人の健康状態が把握できたカタールの接触追跡アプリの脆弱性についてまとめてみた - piyolog
2020年5月26日、アムネスティ セキュリティラボはカタールが国内で導入した接触追跡アプリに脆弱性が存在していたと発表しました。ここでは関連する情報をまとめます。 www.amnesty.org カタールの接触確認アプリ カタールの接触追跡アプリ カタールが国内向けに導入を進めている接触追跡アプリは「EHTERAZ」。Android、iOS向けに提供されている。 カタール内務省が設計、開発を担当。COVID-19の事例追跡のために、GPS、Bluetoothの技術を使用。 収集されたデータは中央データベースサーバーに集約され、当局担当者はリアルタイムに位置追跡が可能。 2020年4月以降アプリのインストールは同国市民、法廷居住者に義務付けられており、違反した場合最長3年の懲役、約590万相当の罰金刑を受ける可能性がある。 登録は電話番号、国民IDとその有効期限で行われる 誰でも取得できた
シャープ、マスク抽選販売の応募受付を3日に再開
シャープは5月1日、第2回目以降のマスク抽選販売について、常時応募を受け付ける方法に変更すると発表した。第2回は5万箱(マスク50枚入、1人1箱限り)を販売予定で、5月3日の午前10時に応募受付を再開する。価格は2980円(税、送料別)。 抽選は毎週水曜日に行う。対象は前日火曜日の正午までに応募した人(火曜日の午後から水曜日まではメンテナンスのため応募できない)。当選すると水曜日か木曜日に通知メールが届くため、日曜日の午後5時までに購入手続きを行う。購入期間を過ぎた場合、購入できなくなるという。なお、第1回の抽選に応募した人は、当面の間、毎回抽選の対象となるため改めて応募する必要はない。 当選通知メールに購入サイトのURLは記載しない シャープによると、今回から当選通知メールに購入サイトのURLを記載しないという。これは「偽の当選通知メールを送り、偽サイトで個人情報やクレジットカード番号な
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「接触確認アプリ」で議論、プライバシーや有効性、法的側面は? ~個人の自由の尊重か、パターナリズムか【イベント】