1: 稼げる名無しさん 2020/08/31(月) 01:03:48.48 ID:SSFJfAIK9.net
■新型コロナウイルス接触確認アプリ(COCOA)で攻撃できる問題

はじめに

#COCOAボランティアデバッグ に尽力されている皆様に深い敬意を表します。
併せて、 OSS コミュニティへの悪影響を残している関係行政機関・各社担当者を強く軽蔑します。
project dead? · Issue #773 · Covid-19Radar/Covid19Radar · GitHub
COCOA が抱えるアプリケーション設計上の問題点

攻撃者が COVID-19 感染者になりすまして「陽性情報の登録」を比較的容易に行える設計であること

登録に必要な「処理番号」のフォーマットは半角数字8桁であることが明示されてしまっている
ブルートフォース対策としてなのか、複数回の入力ミス発生時は「登録回数上限になりました。アプリケーションを終了します」としてアプリケーションが強制終了するが、特にそれ以上のペナルティは確認できない
SMS による処理番号通知を行っているのであれば、8桁数字ではなくハッシュ値を含む URL による登録など、ブルートフォース対策を含めた登録方法とするべきでは無かったか?
接触記録の条件である「概ね1メートル以内で15分以上」の距離条件を大きく逸脱している可能性があること

(注) これはアプリケーション固有の問題ではない( Apple-Google API の問題)が、前項の問題点と併せることで脅威となりうるので便宜的に示しておきます
この API は端末間距離を Bluetooth の電波強度により測定しているとしているが、実際の距離を担保するものではない
5m 離れていてもこの API による接触記録対象となる可能性がある
Corona-Warn-Apps: Studie findet Probleme bei der Kontaktverfolgung im ÖPNV | heise online
これにより後程示す悪用者が居なくとも COCOA 利用者が「陽性者と接触した旨の通知を過剰に受ける」脅威にさらされている可能性が考えられる
日本国内における現行法制下では代案を示すことが難しい問題であるが、まずは第三者による検証が求められる
COCOA が抱える運用上の問題点

※一部で報じられている「保健所から COCOA への陽性情報の登録に必要な処理番号が即日発行されない」などの問題もありますが、ここでは省略します
COCOA により陽性者と接触した旨の通知を受け取ると感染症コールセンターへの連絡を促され PCR 検査を受けることになる
余談レベルだが、感染症コールセンターを始めとする各所への通話料金は COCOA 導入者自身が負担することになる

(略)

細かい説明や具体的な表現は控えましたが、この攻撃を仮に受けたとして致命傷に近いダメージを受ける事業者は少なくないと思います。
事業所単位で COCOA の導入を推奨している管理者は直ちに見直すことを推奨します。
まとめ

本日より COCOA の導入を促すテレビCMが放映されているようです。( #検察庁法改正案に抗議します で一躍有名になったきゃりーぱみゅぱみゅ氏などが出演されているようです)
一方で COCOA アプリケーションのリリースは 2020年7月13日 にリリースされた v1.1.2 を最後にアップデートが途絶えており、不具合ととれる多数の事象は解決されず、上記に挙げたような問題点が払拭されることも残念ながら当面は無さそうです。

世間では高ぶる正義感からか COCOA の導入を声高らかに勧めたり、従業員やビジネスパートナーに導入を強いている管理者も現れているようです。
このエントリを通じて、そのような方々へ抵抗出来る材料が提供できれば幸いです。
余談

冒頭のように COCOA の原型であるとされる Covid-19Radar/Covid19Radar プロジェクトも OSS にあるまじき「放置状態」が続いています。
これが GitHub を買収した企業に所属する人間の所作ですか?

IT/ICT や OSS を通じて昨今の COVID-19 感染拡大を発端とする諸問題を解決する動きは支持したいですが、このような杜撰なサービス運営により IT/ICT や OSS に対する世間の期待を悪化させることを強く憂慮しています。

https://anond.hatelabo.jp/20200830172134

https://github.com/Covid-19Radar/Covid19Radar/issues/773

1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku


一通り読んでみたけれどこれはどうなのかお?
個人的には総当たりで試すような人は出ないと思うんだけれど・・・特にメリットもないし。
yaruo_asehanashi
 俺もそんな事をする人は滅多にいないと思うけれど、塞いでおいてもいい問題かもなとは思う。
 あとはレビューにも不具合が結構投稿されているが、修正が無いのはちょっと困るな。
 最終アップデートは2020年の7月13日となっている。





1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku




現在よく読まれているニュース!:






以下2chの反応と管理人の反応です






2: 稼げる名無しさん 2020/08/31(月) 01:04:22.61 ID:5lQZ8ep60.net
つーかここ1ヶ月更新もないよな

3: 稼げる名無しさん 2020/08/31(月) 01:05:26.57 ID:qbeuBZVq0.net
それCOCOAを無意味に出来るバグじゃん
なんで放置されてるの

8: 稼げる名無しさん 2020/08/31(月) 01:07:39.01 ID:TDXyPYV50.net
陽性になりすませるってこと?
足つくんだから迷惑行為で逮捕すりゃいい

14: 稼げる名無しさん 2020/08/31(月) 01:10:39.54 ID:H+twG9wY0.net
だってピンハネで抜かれて実務者はバイトみたいな連中でしょ

16: 稼げる名無しさん 2020/08/31(月) 01:11:50.09 ID:Xr9WtOoO0.net
管理者がいないんだっけ?

19: 稼げる名無しさん 2020/08/31(月) 01:13:05 ID:IYsdntIV0.net
しょーもな
そんな事をやって何の意味があるんだ
自分が責められるだけだろ

21: 稼げる名無しさん 2020/08/31(月) 01:14:39 ID:Xj0ILp6L0.net
修整できるプログラマーがいないだけ

30: 稼げる名無しさん 2020/08/31(月) 01:19:41.95 ID:n8k8xcof0.net
手当たり次第に、「ヤツは要注意人物」だとかね。あり得る。

33: 稼げる名無しさん 2020/08/31(月) 01:21:38 ID:PJbo6SxI0.net
コロナおじさんがアプリの上でも現われるの?

42: 稼げる名無しさん 2020/08/31(月) 01:27:26.99 ID:sQrbs2Kd0.net
そんなサーバーアクセスしまくったら不正ってすぐバレるじゃん
ID紐づいてんだからさ。
意図しないアクセス大量に送るのは逮捕されるし

47: 稼げる名無しさん 2020/08/31(月) 01:29:02.15 ID:3LyDvDyF0.net
>>42
具体的にどの法律で逮捕されるの?
思いつかない

46: 稼げる名無しさん 2020/08/31(月) 01:28:28.43 ID:biz++AO50.net
ウイルスを作るのはアンチウィルス会社とか聞くけど、悪用され危機に直面しないと本気にならへんのよね

1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku




有用なアプリだとは思うんだけれど。。。
yaruo_asehanashi
 まぁ早めの更新に期待だな。




現在よく読まれている記事:






引用元:ai.2ch.sc/test/read.cgi/newsplus/1598803428/