↑かなりの長文で、難しいですが、是非、リンク先を読んで欲しいです。。
一応、一部を、引用してみると。。
iモードが始まった当初は、PDC方式上にインターネットアクセスを実現したため、今のスマホとは違って、端末とWebサーバが直接TCP/IPの通信をするのではなく、「パケット交換機」がTCP/IP接続を開始するようになっていた。そのため、この「パケット交換機」が、HTTPリクエストに電話番号などの利用者識別子をヘッダに載せることができた。
IPアドレスに頼らざるを得ないのは、端末と、Webサーバが直接TCP/IPで、httpsの通信をしているので、途中で、電話番号などのデータを載せて識別に使うとかが出来なかったかららしい。。
しかし、IPアドレスって、この前、取り違えが問題になりましたよね?
これも怖いですが。。
docomoの実際の端末で確かめてみたところ、テザリング中は、dmenuなどがアクセスできないようになっていた。以下の図7の画面が現れるようになっている。
では次に、悪意あるアプリから「dmenu」はどう見えるのだろうか。
「dmenu」は、Android標準搭載の「ブラウザ」でしか見られないわけではない。Firefoxでも、Operaでも「dmenu」を普通に使うことができた。このことから、試してみるまでもなく、悪意あるアプリからでも「dmenu」は見えてしまうと言える。*14
「dmenu」をのぞき見するには、「ネットワーク通信(完全なインターネットアクセス)」のpermissionだけがあれば可能である。今や、かなり多くのアプリがこのpermissionを要求しているので、このpermission要求で怪しいと気付けることはまずないだろう。
spモードには、「spモードパスワード」という、「ネットワーク暗証番号」とは別の、4桁数字のパスワード(「パスワード」ではなく暗証番号と呼ぶべきだ)の仕組みがある。その初期設定が全員「0000」になっているのである。
しかし、「0000」のまま使っている人が多いとすると、悪意あるアプリによって無断で有料サービスを登録されてしまう危険があるのではないか。
こんなことでよいのだろうか。
こんなことになっているのは、「ID・パスワードが存在しない」つまり、電話網による利用者識別をアプリレイヤで活用するという、spモードの特徴から来たものである。どうしたら対策できるか思いつかない。「ID・パスワードが存在しない」という特徴を捨てて、普通のインターネットのWebと同じやり方に仕様を変更するしかないのではないか。
これ、めちゃくちゃ怖いですよ。。
SPモードのパスワード(というか、暗証番号)を、0000にしたままだと、
悪意有るアプリから、なんでもやり放題。。
- なりすましてのSPモードメールの送信
- 何のサービスに加入しているかの情報収集
- 無断で、有料サービスへの登録
などが、いとも簡単にできてしまう。。
(一部は、0000を入れなくても、出来てしまう?)
一応、正規ドコモアプリかどうかを識別するための、プロトコルが入っているそうですが、既に解析済みで、意味がないそうです。。
なんだかな。。。
一応、新しいプロトコルに変更するという手もあるけど、多分、いたちごっこでしょうね。。
ユーザーが出来る対策は、危険そうなアプリは入れないようにする。。
SPモードのパスワード(というか、暗証番号)を、0000以外にするぐらいしか。。。??
でも、10000通りしかないんでしょ? (;´∀`)
1日に3回までしか間違え出来ないとしても、毎日0000から順番に試していけば、いつかは、とっぱできるんじゃないでしょうか?
でも、9年ぐらいかかるか。。だめか。。それとも? (^^;;
抜本的に直すには、IDとパスワードを使って、ログインする方式に変えるしかないですよねぇ。。
そうすると、ログインできないんだけど。。という苦情が。。。汗
