【COCOA】接触確認アプリに「陽性情報の登録を総当たりで登録できる」脆弱性　ボランティアが発見し修正依頼→無視され更新もなし

1 : 2020/08/31(月) 01:03:48.48 ID:SSFJfAIK9: ■新型コロナウイルス接触確認アプリ(COCOA)で攻撃できる問題
はじめに
#COCOAボランティアデバッグに尽力されている皆様に深い敬意を表します。
併せて、 OSS コミュニティへの悪影響を残している関係行政機関・各社担当者を強く軽蔑します。
project dead? · Issue #773 · Covid-19Radar/Covid19Radar · GitHub
COCOA が抱えるアプリケーション設計上の問題点
攻撃者が COVID-19 感染者になりすまして「陽性情報の登録」を比較的容易に行える設計であること
登録に必要な「処理番号」のフォーマットは半角数字8桁であることが明示されてしまっている
ブルートフォース対策としてなのか、複数回の入力ミス発生時は「登録回数上限になりました。アプリケーションを終了します」としてアプリケーションが強制終了するが、特にそれ以上のペナルティは確認できない
SMS による処理番号通知を行っているのであれば、8桁数字ではなくハッシュ値を含む URL による登録など、ブルートフォース対策を含めた登録方法とするべきでは無かったか？
接触記録の条件である「概ね１メートル以内で15分以上」の距離条件を大きく逸脱している可能性があること
(注) これはアプリケーション固有の問題ではない( Apple-Google API の問題)が、前項の問題点と併せることで脅威となりうるので便宜的に示しておきます
この API は端末間距離を Bluetooth の電波強度により測定しているとしているが、実際の距離を担保するものではない
5m 離れていてもこの API による接触記録対象となる可能性がある
Corona-Warn-Apps: Studie findet Probleme bei der Kontaktverfolgung im ÖPNV | heise online
これにより後程示す悪用者が居なくとも COCOA 利用者が「陽性者と接触した旨の通知を過剰に受ける」脅威にさらされている可能性が考えられる
日本国内における現行法制下では代案を示すことが難しい問題であるが、まずは第三者による検証が求められる
COCOA が抱える運用上の問題点
※一部で報じられている「保健所から COCOA への陽性情報の登録に必要な処理番号が即日発行されない」などの問題もありますが、ここでは省略します
COCOA により陽性者と接触した旨の通知を受け取ると感染症コールセンターへの連絡を促され PCR 検査を受けることになる
余談レベルだが、感染症コールセンターを始めとする各所への通話料金は COCOA 導入者自身が負担することになる
(略)
細かい説明や具体的な表現は控えましたが、この攻撃を仮に受けたとして致命傷に近いダメージを受ける事業者は少なくないと思います。
事業所単位で COCOA の導入を推奨している管理者は直ちに見直すことを推奨します。
まとめ
本日より COCOA の導入を促すテレビCMが放映されているようです。（ #検察庁法改正案に抗議しますで一躍有名になったきゃりーぱみゅぱみゅ氏などが出演されているようです）
一方で COCOA アプリケーションのリリースは 2020年7月13日にリリースされた v1.1.2 を最後にアップデートが途絶えており、不具合ととれる多数の事象は解決されず、上記に挙げたような問題点が払拭されることも残念ながら当面は無さそうです。
世間では高ぶる正義感からか COCOA の導入を声高らかに勧めたり、従業員やビジネスパートナーに導入を強いている管理者も現れているようです。
このエントリを通じて、そのような方々へ抵抗出来る材料が提供できれば幸いです。
余談
冒頭のように COCOA の原型であるとされる Covid-19Radar/Covid19Radar プロジェクトも OSS にあるまじき「放置状態」が続いています。
これが GitHub を買収した企業に所属する人間の所作ですか？
IT/ICT や OSS を通じて昨今の COVID-19 感染拡大を発端とする諸問題を解決する動きは支持したいですが、このような杜撰なサービス運営により IT/ICT や OSS に対する世間の期待を悪化させることを強く憂慮しています。
https://anond.hatelabo.jp/20200830172134
https://github.com/Covid-19Radar/Covid19Radar/issues/773
2 : 2020/08/31(月) 01:04:22.61 ID:5lQZ8ep60: つーかここ1ヶ月更新もないよな
3 : 2020/08/31(月) 01:05:26.57 ID:qbeuBZVq0: それCOCOAを無意味に出来るバグじゃん
なんで放置されてるの
36 : 2020/08/31(月) 01:23:48.69 ID:rIYqJXPS0: >>3
他人を攻撃するのが好きなパヨやIT系でマウント取りたいゴミが
アプリ開発者を誹謗中傷しアプリ開発者の心を壊したから。
38 : 2020/08/31(月) 01:24:15.31 ID:+zv5MV+30: >>36
工作員丸出しだな
74 : 2020/08/31(月) 01:36:39.05 ID:cH63A09v0: >>36
開発者は関係ない
業務委託受けてる企業がなんで放置してんのかってこと
4 : 2020/08/31(月) 01:06:09.46 ID:5eeqTIDk0: よし、辞職とともに安部を逮捕出来るかな
10 : 2020/08/31(月) 01:08:14.89 ID:DRaKPRtI0: >>4
このスレと関係あるか？
5 : 2020/08/31(月) 01:06:30.99 ID:p7VcpTNB0: 安倍「意味のないアプリだよ！」
20 : 2020/08/31(月) 01:13:45.56 ID:NlrEyjAp0: >>5
ちょっと笑った
6 : 2020/08/31(月) 01:06:44.36 ID:3qJg2W+z0: こんなもん使う方がバカ
7 : 2020/08/31(月) 01:07:35.78 ID:t678QcS00: つーかそこまでしてPCR受けたいか？
この糞暑い中わざわざハイリスクな検査場に行く方が・・・保険適用外以外じゃその辺の病院で手軽にできるわけじゃないだろうし
8 : 2020/08/31(月) 01:07:39.01 ID:TDXyPYV50: 陽性になりすませるってこと？
足つくんだから迷惑行為で逮捕すりゃいい
9 : 2020/08/31(月) 01:08:00.35 ID:EU93Wb+o0: USBの接触が悪いんやろな
11 : 2020/08/31(月) 01:09:00.71 ID:LDpmI0lZ0: 日本の技術的限界。やるなら金かけて作れや。、プライバシーなんかいらん。
12 : 2020/08/31(月) 01:09:50.60 ID:ez5FGM+S0: 安倍友会社がやっつけで作ったゴミアプリ
GOMIDA
13 : 2020/08/31(月) 01:10:11.68 ID:MQh25Ypw0: 総当たりで入力を繰り返す事で本物の陽性患者の登録番号を割り出せる上に本人じゃない者がその番号でエントリーできるって事？
14 : 2020/08/31(月) 01:10:39.54 ID:H+twG9wY0: だってピンハネで抜かれて実務者はバイトみたいな連中でしょ
15 : 2020/08/31(月) 01:11:04.09 ID:ZDdxAqle0: cocoa導入に抵抗できる材料が提供できれば幸いってどんだけ嫌なんだよ…
16 : 2020/08/31(月) 01:11:50.09 ID:Xr9WtOoO0: 管理者がいないんだっけ？
17 : 2020/08/31(月) 01:11:56.47 ID:kzO9mmaW0: こんなんに力入れんでも勝手に収束しとるがな
18 : 2020/08/31(月) 01:12:27.43 ID:OzxhBHSL0: これ、有志がフリー開発し始めたプロジェクトを
強引に持ってって国開発としてる奴だろ？
27 : 2020/08/31(月) 01:18:00.06 ID:F+VUzg060: >>18
んで予算をがっぽり取った連中は何もせずボランティアにタダ働きさせたのな。
ピンハネってレベルじゃないぜ。
34 : 2020/08/31(月) 01:22:19.88 ID:OzxhBHSL0: >>27
もともとが、ボランタリベースの
性善説にたった設計なんだよな…
48 : 2020/08/31(月) 01:29:16.63 ID:TXwuguxu0: >>27
タダ働きもクソも開発者が顔出しで売名目的でやってんだよ
だから不具合指摘されたら不貞腐れて逃亡した
51 : 2020/08/31(月) 01:30:35.89 ID:s2lR9uRJ0: >>48
なんとか王子とか言われてもなお売名だったしな
ボランティアなら無条件に批判されないなんて勘違いしてそう
72 : 2020/08/31(月) 01:36:25.44 ID:F+VUzg060: >>51
売名くらい構わないでしょ。
政府からカネ引っ張ったくせに何もしない方がイカレてるだろ。
ボラが降りたならそいつらがやればいいだけの話だろ。
19 : 2020/08/31(月) 01:13:05.05 ID:IYsdntIV0: しょーもな
そんな事をやって何の意味があるんだ
自分が責められるだけだろ
21 : 2020/08/31(月) 01:14:39.39 ID:Xj0ILp6L0: 修整できるプログラマーがいないだけ
32 : 2020/08/31(月) 01:20:43.18 ID:weBMJ9kd0: >>21
先進国最下位のコンピューター技術だからな
22 : 2020/08/31(月) 01:15:24.39 ID:fI/d/umO0: 総当たりに総当たりがぶつかると新たな宇宙が創世されて楽しいよな！
23 : 2020/08/31(月) 01:16:08.17 ID:2n30j8QL0: ＞接触記録の条件である「概ね１メートル以内で15分以上」
この条件を満たすのは、電車等の公共交通機関がほとんどだよね
沖縄ではモノレールあるけど、ほとんどの人は車移動だし、役に立たないな
24 : 2020/08/31(月) 01:16:26.35 ID:3LyDvDyF0: ８桁の番号の正誤のチェック仕様は？
機械的に解析できるから、もうわかってるよね
25 : 2020/08/31(月) 01:16:31.34 ID:52C8pXkq0: 会社で強制的に入れさせられたが
26 : 2020/08/31(月) 01:17:46.54 ID:SzVlxozA0: そもそも陽性者は出歩かないだろ
28 : 2020/08/31(月) 01:18:19.24 ID:IojF922p0: CHONWA？
44 : 2020/08/31(月) 01:27:33.61 ID:d0GUs/x10: >>28
こっちの方が欲しいです
29 : 2020/08/31(月) 01:19:19.04 ID:xRyCdrFp0: ネトウヨ発見機だな
30 : 2020/08/31(月) 01:19:41.95 ID:n8k8xcof0: 手当たり次第に、「ヤツは要注意人物」だとかね。あり得る。
31 : 2020/08/31(月) 01:19:58.30 ID:tpsZjQnm0: 富士通だっけ？
33 : 2020/08/31(月) 01:21:38.44 ID:PJbo6SxI0: コロナおじさんがアプリの上でも現われるの？
37 : 2020/08/31(月) 01:23:58.49 ID:weBMJ9kd0: >>33
バーチャル自粛厨
バーチャル俺コロナ
バーチャルマスク警察
39 : 2020/08/31(月) 01:26:57.46 ID:BtGIdt6t0: 接触通知来ても無症状なら無視していいよ
どうせアプリのエラーだ
40 : 2020/08/31(月) 01:27:10.03 ID:rhbDwOK40: うちの市はいないからダウンロードしないわ
41 : 2020/08/31(月) 01:27:10.62 ID:6L/2K63a0: こいつ文句だけ言って自分では何もしてないじゃん。軽蔑とかフリーライドしてる立場でよく言えるわクズすぎる
42 : 2020/08/31(月) 01:27:26.99 ID:sQrbs2Kd0: そんなサーバーアクセスしまくったら不正ってすぐバレるじゃん
ID紐づいてんだからさ。
意図しないアクセス大量に送るのは逮捕されるし
47 : 2020/08/31(月) 01:29:02.15 ID:3LyDvDyF0: >>42
具体的にどの法律で逮捕されるの？
思いつかない
71 : 2020/08/31(月) 01:35:33.01 ID:cH63A09v0: >>42
なんの罪で？
45 : 2020/08/31(月) 01:27:51.16 ID:19EQNHqW0: まあ実用性はもうないって事か
50 : 2020/08/31(月) 01:30:02.93 ID:3LyDvDyF0: >>45
最初から無い
コロナ陽性者に、陽性者登録するメリット無いから登録しないよ
66 : 2020/08/31(月) 01:33:58.49 ID:lJwUubvy0: >>50
陽性者が登録しなかった場合のこと何も考えてないんだよな
46 : 2020/08/31(月) 01:28:28.43 ID:biz++AO50: ウイルスを作るのはアンチウィルス会社とか聞くけど、悪用され危機に直面しないと本気にならへんのよね
49 : 2020/08/31(月) 01:29:42.25 ID:FkiblELh0: ボランティアなのに批判されてやる気なくしたんじゃなかったっけ？
52 : 2020/08/31(月) 01:30:59.88 ID:lJwUubvy0: これわかってた
誰も指摘しないのが不思議だった
いくらでもなりすましで陽性者登録できる
54 : 2020/08/31(月) 01:31:43.28 ID:cH63A09v0: Bluetooth の距離計測は精度低いからね
55 : 2020/08/31(月) 01:31:52.73 ID:L3JVeN+U0: 最初から言われてたそのまんま
56 : 2020/08/31(月) 01:31:53.11 ID:E1ytw3330: き、、きじゃくせい？
57 : 2020/08/31(月) 01:31:53.19 ID:DveXIBp90: 国がこれ使って感染者対策に使いだしたんだから
ボランティアなんで～、なんて通らんだろ
責任もって直させろ
この時代にコロナ誤認なんかされたら殺人が起きるぞ
58 : 2020/08/31(月) 01:32:01.03 ID:G6kGo0h10: 最後の方読むとむしろ修正されない方が都合がいいんじゃないか？抵抗したいんだろ？
59 : 2020/08/31(月) 01:32:05.72 ID:i6wjn6fc0: アプリから通知ありましたけど
と言って保健所に電話しても
たいていは、自宅待機だけ伝えられて
ろくに検査してくれないそうだからね
何のためのアプリなんだろうね
60 : 2020/08/31(月) 01:32:14.21 ID:7/OIexz90: 入れてる奴は情弱ばかり
玄人は死んでも使わない
76 : 2020/08/31(月) 01:37:09.04 ID:3LyDvDyF0: >>60
1m以内に15分いた人だから、誰が陽性者かわかる場合が多い
陽性者とバレたら、自宅に放火されたり、職場に誹謗中傷が殺到する
正直に陽性者登録するやつはバカだわな
61 : 2020/08/31(月) 01:32:16.06 ID:QeSgD34X0: ゴミアプリ入れてる馬鹿いんの？
62 : 2020/08/31(月) 01:33:22.03 ID:DveXIBp90: >>61
公務員は全員入れるようにお達しが来たわ。
信用してねーけど。
63 : 2020/08/31(月) 01:33:26.96 ID:UGOXkZBY0: 通知が来ても保健所がPCR検査受けさせないんだから、入れるだけ無駄だぞ
67 : 2020/08/31(月) 01:34:03.45 ID:AFAWwN5n0: 仕事したふり
68 : 2020/08/31(月) 01:34:10.96 ID:EQxSy+lr0: 使えって言う割にポンコツ過ぎじゃね
70 : 2020/08/31(月) 01:35:11.61 ID:cH63A09v0: というか、せめてアルファベット混ぜろよ
あと20文字くらいにしろよ
73 : 2020/08/31(月) 01:36:37.04 ID:alRMllQX0: 結局このアプリってなんだったんだ
やってる感？
どっかに予算流したかっただけ？
81 : 2020/08/31(月) 01:38:14.88 ID:cH63A09v0: >>73
実装はマイクロソフトのプログラマーがほぼ無償でやった
委託会社はUIだけつけてリリース、後は放置
75 : 2020/08/31(月) 01:36:55.25 ID:nAKBBSNs0: 攻撃されたら修正しまーす
77 : 2020/08/31(月) 01:37:17.62 ID:2cpEVHDb0: どこにこれ依頼してんの？
まともに対応できるITの企業は日本にないんか
79 : 2020/08/31(月) 01:38:03.09 ID:DveXIBp90: >>77
日本はIT後進国なんで仕方ない
80 : 2020/08/31(月) 01:38:08.86 ID:AO+N4A6u0: なんでユーザに登録させる仕様にしちゃったんだろうねえ
82 : 2020/08/31(月) 01:38:18.44 ID:s2lR9uRJ0: 大体フリーソフトと違って一国に一つと制約付いてるアプリなんだから、不具合あれば批判出るの当たり前だろ……
85 : 2020/08/31(月) 01:38:32.16 ID:JB+idH/10: githubのreadmeはすごいきれいだった
86 : 2020/08/31(月) 01:39:43.49 ID:BJQ4pO1M0: やってる感出すためだけの糞アプリじゃね
87 : 2020/08/31(月) 01:40:09.97 ID:DveXIBp90: 安倍が死んだんだからアンインストール許可してほしいわな