タグ: パスワード

カテゴリー
ネットの事件

他人のFacebookアカウントを乗っ取る方法を見つけた人が$15000の報奨金を貰う

http://www.irasutoya.com/2013/09/blog-post_5301.html
(credit: いらすとや)

アナンド・プラカッシュさん(Anand Prakash)が月曜にブログで報告したのは、フェイスブックで他人のパスワードを取得する方法を見つけたという話。

Facebook のパスワードを忘れた時の再取得の手順は以下のようなものです。

  1. 電話番号かメールアドレスを入れる
  2. 送られてきた6桁の数字を本人の証明として入力
  3. 新しいパスワードを設定する画面に行ける

3でデタラメな数字を入れ続けると、10-12回ぐらい失敗した時点でブロックされてしまうそうです。ですので、6桁の数字を総当たりで試すことなどできないはず(=安全)なのですが、

  • beta.facebook.com
  • mbasic.beta.facebook.com

というfacebookに同じようにアクセスできるサブドメインでこれを行った場合、失敗してもブロックされないのを見つけた、というのです。

何回でも試せるので、10万回繰り返すスクリプトを回し、(他人のパスワードを本当に変えると犯罪なので)自分のアカウントのパスワードの再設定ができることを確認した、ということ。

こちらがデモ動画

Facebook への報告が2月22日、翌23日には修正を確認したということで、もちろん現在はこの手は使えません。

プラカッシュさん、3月2日には、Facebook からセキュリティホール発見の報奨金として$15000(165万円) を受け取ったということです。

ものすごい技術力がある、とかでもなく、beta. というアクセスができる別の入口を知っていた、とか、そこでたまたま試してみた、とか、こんな形でのセキュリティホール発見もあるんですね。これで$15000(165万円) 貰えるのは嬉しいだろうな、とは思いますが、もしこの hack が本格的に悪用されていたらどれぐらいの損害を被っていたかと思うと、Facebook には安く上がったと言えるのではないでしょうか。

もし2月23日以前に「変えた覚えがないのにパスワードが変わってた」ということがあった人は、気づくまでの間に同じ手口でアカウントにアクセスされていた可能性もゼロではないですね。

カテゴリー
ガジェット

スマート・インターフォンの Ring に WiFi パスワード奪取のセキュリティホールあり

家のドアに取り付けて、室内だけでなくインターネット越しにスマートフォン等から来客や配達人の応対ができるというスマート・ガジェット Ring に、初歩的な設計ミスが見つかっています。

ring-on-door

こんな感じで、ドアの外に取り付けられる Ring は、中にカメラと電池、無線LAN機能を内蔵していて、来客が来たらネット経由で持ち主を呼び出してくれます。

ペン・テスト・パートナーズ(Pen Test Partners)が今回指摘した問題はこうです。

  • ドライバーで2本のネジを回し、 Ring の本体部分を取り外す
  • オレンジ色の「セットアップボタン」を押す(Ring 自身が WiFi のアクセスポイントAPになって、内蔵のwebサーバが立ち上がる)
  • スマートフォン等で見つかったAPに接続する
  • HTTP で /gainspan/system/config/network に接続する

すると、Ring が接続するように設定されている家庭内の WiFi SSID とパスワード情報が、プレーンテキストで返ってくるようになっていたそうです。つまりは、玄関の外にいる人から、家庭内の WiFi がアクセスし放題になり得るということ。

ring-top-page

「Ring は新レベルのセキュリティーを提供します(Ring provides a new level of security.)」というサイトの宣伝文句は、そういう意味では無かったはず。

Ring 社は、この問題を伝えられて2週間で、問題を解決したファームウェア・アップデートをリリースしたそうです。平文での保存とwebサーバでのアクセス機能を閉じたのだと思いますが、このアップデートを適用すれば、ここまで簡単に WiFi パスワードが抜かれることは無くなりそう。

しかし、暗号化されているにしても、家の外に剥き出しのデバイスの中のどこかに、家の無線LAN の接続情報が記録されていることには変わりがないですね。

屋外設置するものといえば、ウェブにつなげる監視カメラなどインターフォン以外にもあります。自由にアクセスできる屋外のデバイスには、室内に設置するものよりも十分な設計が必要なようですね。

なお、この Ring の値段は $199(2万1890円) 。ペン・テスト・パートナーズも、このスマートなドアベル自体の機能自体については「IoT デバイスにしては珍しく実用的だ」と評しています。

via The Register

カテゴリー
fun

“Q”と”Z”がパスワードに使えない! 格安航空会社ジェットブルーの謎

HackerNewsで質問され、話題になっていたトピック

格安チケットで有名なアメリカのJetBlue のサイトのヘルプページで、「パスワードに使えない文字」というリストが載っています。他にもいろいろ突っ込みたい制限はありますが、

jetblue-password-restrictions

一番わからないのが「QとZは使えません」という制限。これはなんでだろう? という疑問への回答が、レガシーなシステムを引きずったシステムのたいへんさを明らかにしています。

飛行機やホテルの予約システムSabreの制限だろう」というコメントはすぐにいくつも出ていて、どうやらそれは正しいようなのですが、ではどうしてSabreのパスワードにQとZが使えないのか? 答えは昔の電話にあります。

(photo credit: denisgiles)
(photo credit: denisgiles)
(photo credit: mrbill)
(photo credit: mrbill)

英語圏での電話機は、数字ごとにアルファベットが割り当てられていて、英単語を使って電話番号を覚えたりできるようになっていました。

たとえば、アメリカの無料ダイヤルの1-800で始まる”1-800-PAINTER”という文字がついた数字をダイヤル/タッチしていくと、実際には 1-800-724-6837 に掛かる、というものです。日本では数字の語呂合わせで電話番号を覚えてもらう仕組みができましたが、英語圏では数字ごとにアルファベットを割り当てていたのですね。

# 昔の話かと思いましたが、手元のAndroidでも電話のモードにすると数字の横にアルファベットが表示されますね。こちらは、QやZも4文字目に割り振った国際式のようです。

このアルファベットの割り当てで、(アメリカ式の場合は)QとZはどこにも割り当てられなかった、というのが、JetBlue航空のパスワードでQとZが使えない遠因のようです。0から9までの10個の文字に3個ずつアルファベットを割り当てれば、30個となり、26個しかないアルファベットの全部を使えそうですが、0はオペレーター、1は市外局番用なので、そこにアルファベットを割り当ててしまうと、局番以下で英単語を作る時に使いたい文字が使えなくなることから、0と1以外の8個の数字に3個ずつ→24個、という割り当てとなったそうです。

Sabre での予約などを、電話でアルファベットを伝えることでも行っていたことから、電話で入力できない(電話上に割り振られていない)QやZはパスワードとすることもできなかった、というのが真相のようです。

Sabreシステムの開発開始は1957年、ローンチが1960年ということで、当時の環境から考えられたQとZが使えないという制約が、50年以上たった今のウェブシステムのパスワードの制限にまで続いている、ということなんですね。

だからといって、今までこの制限や他の時代遅れな制限を取り除くチャンスが無かったとは思えないですけど。よく使うパスワードにqやz普通に入ってる人も多いでしょうし。まあ一度動いてしまったシステムの仕様を変えるのがいかにたいへんか、という話の一つなのかもしれません。