スマホアプリでのログインは危険かも

過去にも色々とセキュリティ系の記事を書いてきました。
たいていはHTTPSをちゃんと理解しましょうという話でした。
不正なSSL証明書で中間者攻撃の恐れ、モバイルアプリは特に危険
最近のアプリはアプリ内でブラウザを持っていてWebページを表示できるようになっているものが多いです。
この記事をみて、どういうものか実際に自分の手持ちのアプリを試してみました。
結果、私の試したアプリでは不正なSSL証明書を持つサイトに、問題なく接続してしまうことはありませんでした。
ちなみに試すのに利用したのはe-taxのページです。

注 e-taxはGPKI使わなくなったようです2019/8/10時点 以降の記事は以前の内容のままです
https://uketsuke.e-tax.nta.go.jp/UF_APP/lnk/loginCtlKakutei
発行者のGPKIの証明書はもともとインストールされていないことが多いため警告が表示されます。
テストはiOS7.0.4のiPhone・iPadで実施しました。
実験結果
いくつかのアプリでは警告も出ずに、単に表示されないというちょっと中途半端な物もありました。

  • 警告が表示される Safari、Sleipnir、Gmail、Chrome
  • 警告がでず何も表示されない Tweetbot、Seeq+

気づいたこと
HTTPSを使った時に警告を無視しないというのは重要です。ですがそもそもHTTPSを使っているのか確認できない
ものが多いことに気づきました。むしろHTTPSかどうかではなく、URLそのものが見られないアプリが多くありました。
試すのに使ったのはGoogleのログイン画面です
https://accounts.google.com/ServiceLogin
実験結果2

  • URLがすべて表示できるもの Safari、Sleipnir、Instapaper、Chrome
  • URLが一部しか表示されないもの Tweetbot
  • HTTPSかどうか判別できないもの Googleアプリ、Seeq+
  • URLが全く表示されないもの Evernote、Feedly、Pocket、SugarSync
  • (Safariで開くもの Dropbox、Simplenote)

iOSアプリに詳しくないのですがどうもUIWebViewのデフォルトの実装がURLバーがないようです。
ここから言えるのは普段使いのレベルとして利便性を考えても
ブラウザ系アプリ以外でログインなどをするのは危険と言っていいのかなと思いました。
先日のフィッシングの記事でも、正しいURLにHTTPSを使って警告が出ないか確認しましょう、という内容で書きましたが
上にあるアプリでは確認のしようがないということは大きな問題だと思いました。
特にGmailアプリはインパクトが大きいですね。Gmailアプリで受け取ったリンクからのログインはしないほうが無難です。
何か間違いなどあればコメントいただけますと助かります。
気になるアプリなどもコメントあれば時間があれば確認するかもです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です