LunascapeとSleipnirに報告した脆弱性の話(スマホアプリではとにかくHTTPSを使え2021)

2021_browser_mitm_vuln.md LunascapeとSleipnirに報告した脆弱性の話(スマホアプリではとにかくHTTPSを使え2021) 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 執筆時点で未修正の不具合や、過去に修正済みで運営元が開示していない脆弱性情報なども含みますが、公益を意図しています。 概要 2020年の年末に、スマホ向けのLunascapeとSleipnirに対して、以下の問題を脆弱性として報告した。 入力途中も含む検索キーワードが、平文で開発元または検索サービスのサーバーに送られる。 利用者が閲覧しようとしたURLが、平文で開発元または検索サービスのサーバーに送られる経路がある。(閲覧URL全部送られたりするわけではない) 2021年の1月に修正されて、修正内容

[ockeghem]

スマホアプリでは無条件にHTTPSを使えというのは2012年2月に弊ブログで主張していた（malaさんのツッコミは頂いたが）があれから9年も経つのか

[azzr]

id:toro-chan 検索クエリーは機密情報だし、その平文通信は脆弱性だよ。10年前には平文が許される状況もあったかもしれないが、もうそういう時代じゃない。

[gfx]

"スマホアプリがHTTPSを使わないのは、それ単体で脆弱性" / スマホに限定してるのは、スマホがMITM攻撃をとても受けやすいからってことかな。

[lainof]

平文通信が許されないならHTTPでのリクエストを受け付けるgoogleのサーバも問題では？

[NOV1975]

not evilの原則がなくなったgoogleですら守るべき一線なのだからな

[harupu]

7年前にiLunascapeのUXSSを報告した時も全く連絡つかなかったし、ここの体制は大丈夫なのだろうか

[ichiken7]

“Lunascape”がLanscopeに空目してしまう

[spark7]

httpsだろうが開発元のサーバに入力文字が送られるのは変わらなくね

[baronhorse]

誇大妄想では

[maemuki]

ルナスケ ナツいのう👴

[knosa]

一時期SmoozとSleipnir 2ブラウザ体制にしてた時あったのでかなりリスキーだったな

[saikyo_tongaricorn]

Smoozブチギレおじさん

[toro-chan]

いうことは分かるものの、HTTPで送信すること「だけ」を「脆弱性」と呼ぶのにまだ抵抗がある。機密情報が洩れるのは問題だが、単語検索は機密情報じゃないので、通信上で読み取れることは「改善項目」と呼ぶべき

[Fushihara]

スレイプニルはともかく、ルナスケープとかまだ頑張ってるんだなあ・・・

[smbd]

”このような事態を招いているのは私が所属している組織に配慮して、スマホアプリがHTTPSを使わないのは、それ単体で脆弱性だということを強く主張してこなかったことが原因なので、とにかく全部俺が悪かった。”