■続「99.7%のAndroid端末に不正アクセスの危険」検証メモ
こちらの記事の続き。HTCへの通知から約20日経過した本日、やっと日本HTCサポートセンターから電話があり直接お話をすることができた。blogに書いていいと確認を取れた事項は僅かだが、Googleアプリの認証トークンの再確認と合わせて再度記事とする。
■今回HTCに通知した内容
前回の実験によってHTC sense用Twitterアカウントで同期すると平文で通信をしており認証トークンが見えてしまうことがわかった。大本になったこちらで指摘されているGoogle製アプリと同様の問題がHTC製アプリにもあるということを確認したということになる。厳密に言うと、HTC sense用Twitterアカウントは作成時に「SSL セキュリティを有効にする」というチェックがあり、確かにアカウント作成時にはHTTPSで認証が行われているのだが、その後のコンテンツ同期にはHTTPが用いられるため、認証トークンが見えてしまうという問題である。Twitter製アプリを利用すれば問題は回避可能なので致命的問題ではないが修正を期待して通知してみた。
■HTC日本サポートセンターの回答(掲載了解済みの内容)
・HTCよりアップデートが提供されるまで待って欲しい
・Googleアプリの修正もアップデートまで待って欲しい(=サイレントフィックスは適用されない)
問題は認識していただいたようで、なぜすぐに対応できないかなども説明をされたが詳細を書く了承は得られなかったので、ここで書けることは以上となる。もちろんいつアップデートが提供されるとかそういう情報はそもそも一切なし。…おっと、ちょっと待ってほしい。Googleがやると言っていたサイレントフィックスもアップデートまで適用されないって本当?何度か念を押したが上記の通りらしいので、その時は電話を切ったのだが、夜になってなんとなく心配になって現状の動作確認をしてみた。検証方法は前記事と同様である。問題だと思われたのはGoogle AccountのContactsとCalendar。そしてGoogle Marketの通信である。
■Googleアプリの再検証結果
1)Google Account
全ての同期通信がHTTPS化されていた。サイレントフィックスされていることを確認!
2)Google Market
変わらず、User-Agent: Android-Market/2 (ace GRI40) がHTTP平文でPOSTデータ中にrequest=から始まるコードを送信。何らかの認証コードが含まれているように見えるが、推測でしかなく黒とは断定はできない…。
マーケットは微妙なところだが、少なくとも問題だった連絡先とカレンダーのアプリは通信がHTTPS化されていることが確認できた。サイレントフィックスは間違いなく行われており、手元の001HTには適用されている。…HTC日本サポートセンターの回答間違ってる?掛かってきた電話番号が+886からで台湾発の発信番号だったが、日本語は自然だったしアクセント等にも違和感は感じなかったし、ちゃんと話も通じてると思っていたのだが…用意されていた回答そのものが不正確だったということか…。…HTC大丈夫?と少し不安になってしまった。
■まとめ
少なくともGoogleのサイレントフィックスは確かに行われているようだ。一方HTC製アプリについてはいつになるかわからないがアップデートを待って欲しいとのことなので、HTCユーザはそれまでの期間Twitter謹製アプリを利用することを推奨する。