iOS 9.2へのアップデートで複数のワンタイムパスワード生成アプリにトラブル 49
ストーリー by hylom
せめてマイナーアップデートくらい穏便にやらせてくれ 部門より
せめてマイナーアップデートくらい穏便にやらせてくれ 部門より
insiderman 曰く、
近年ではネットバンキングなどでスマートフォンアプリを使ったワンタイムパスワード認証が採用されているが、三菱東京UFJ銀行や三井住友銀行のワンタイムパスワードアプリで、12月9日にリリースされたiOS 9.2にアップデートすると正しく利用できなくなるという問題が出ている模様(三菱東京UFJ銀行のお知らせ、三井住友銀行のスマートフォンアプリページ)。
iOS 9.2にアップデートした場合、ワンタイムパスワードの利用登録を再度行う必要があるという。また、同様の認証アプリ(ソフトウェアトークン)を提供しているオンラインゲーム「ファイナルファンタジーXIV」でも、ソフトウェアトークンが起動しなくなる問題が確認されているという。
で、 (スコア:0)
アップデーターがポカしたの?
アプリの実装方法が悪いの?
どっち?
Re: (スコア:0)
サーバー側の問題に一票。
https://www.ssllabs.com/ssltest/analyze.html?d=entry11.bk.mufg.jp [ssllabs.com]
>Apple ATS 9 / iOS 9 R Protocol or cipher suite mismatch
https://www.ssllabs.com/ssltest/analyze.html?d=smbc.co.jp [ssllabs.com]
>Apple ATS 9 / iOS 9 R Protocol or cipher suite mismatch
Re: (スコア:0)
あ、再度手続きすれば問題ないらしいので、サーバーは関係ないかも。
Re: (スコア:0)
アプリの実装方法の問題。
スクエニ(FF14)は昨日アップデートで対応済みだし。
Re:で、 (スコア:1)
> アプリの実装方法の問題。
仮にOS側が勝手にトークンを無効にする処理入れてきたとかAPI変えてきたとかだと
「アプリの実装の問題ではない」わけで、
アプリの実装の問題だと断言するなら明確なソースをよろしくお願いします。
これはアプリ側が修正で対応したかどうかとは一切関係ないですよ、念のためですけど
Re: (スコア:0)
1Passwordは何もしなくてもちゃんと引き継がれてましたね。
まああれは元々iOSとWindows間でも同期出来てたりしますが。
Re: (スコア:0)
巷のネットワークゲームのワンタイムパスワードってOATH TOTP ( RFC6238 [ietf.org])だと思うけど、私が使っている OATH Token [apple.com] というアプリは昔導入した鍵も含めてiOS9.2にしても使えていますよ。
実装方法の問題じゃないのかな。 これ使えなくなったら職場のマシンにログインできなくなるので、大変。
個人的にはワンタイムパスワードよりも
Re: (スコア:0)
> 実装方法の問題じゃないのかな。
実装方法の問題なら「アプリはそのままでトークンを再発行すれば解決する」こととの整合性が取れない
トークンの新規発行や既存トークンの検証で、iOS9.2の内部処理が変わった
(なのでアプリはそのままでもトークンの新規発行からやり直せば問題が解決する)のが原因とほぼ確定してる
Re:で、 (スコア:1)
キーをキャッシュディレクトリに保存したから、OSアップデートで消されちゃった、とか。
自分はAuthy使ってるけど問題なかった。Keychainに保存してるんじゃないかな。
まぁなんにせよ、日本の大企業がリリースしてくるアプリはクソな場合が多い。
技術力がないというか。ろくに「スワイプで戻る」にも対応してないし、無駄にWebView多用するし。
UIもクソだし。UXをちゃんと考える人がいないんだろうなぁ。いても何もわかってないお偉いさんがそういうのに金かけないのかな。
Re: (スコア:0)
すぐに反日とか言い出す人って...
気持ち悪い
あいかわらず、互換性をぶっ飛ばす (スコア:0)
で、原因は何なの?
トークンのもとになるIDか乱数が変わったの?
Re:あいかわらず、互換性をぶっ飛ばす (スコア:1)
> トークンのもとになるIDか乱数が変わったの?
推測だけど、
トークンの新規発行や既存トークンの検証で使えるアルゴリズムやキー長など強度条件がiOS9.2で一方的に減らされたんだろう
んで切られた強度条件で発行していた既存トークンが死亡
iOS9.2でも引き続き使える強度条件でトークンを再発行すればいい、とかそんなんが濃厚
その先としてなんで黙って減らすような真似してきたのか?って話になると、
これまでのiOSの該当強度条件の実装に致命的脆弱性とかあって
苦し紛れに皆殺しにしてきてるんじゃねとかそんな話になるけど
この辺はAppleは絶対に情報公開しないだろうから推測からは進まないね
セキュリティにについてAppleの秘密体質には付き合うだけ無駄
Re:あいかわらず、互換性をぶっ飛ばす (スコア:1)
多分いちばん一般的な仕様であろう OATH TOTP は HMAC HASH しかつかわないので、SHA-1 が切られて、あわてて SHA256 に切り替えたとかそんなの?
Re: (スコア:0)
HMAC-SHA1は廃止の対象外のはずだが(通常のSHA1のような大幅な弱点はまだ見つかっていない)。SSL/TLSの暗号スイートでも(AEADのものを除いて)SHA1とは実はHMAC-SHA1のことだから廃止対象になっていないし。
Re: (スコア:0)
推測だけでここまで妄想するとか、なかなかですね
へんな教えて君がいるから.. (スコア:0)
適当なこといっておいた方が面白いでしょ。
微妙に正しく、肝心なところで嘘をつくのが大人の態度
Re: (スコア:0)
妄想ってそういうもんでしょー
Re: (スコア:0)
何ヶ月も前からベーター版を配布して変更点を告知してるのに対応しないアプリ側の怠慢が問題です
やる気がないならデベロッパーID返上しろ
Re:あいかわらず、互換性をぶっ飛ばす (スコア:1)
> 何ヶ月も前からベーター版を配布して変更点を告知してるのに対応しないアプリ側の怠慢が問題です
はい、ではその「変更点を告知している」ソースをぜひ出してください。
今回の問題の原因である可能性が高いトークンの扱いについてバッチリ明確に記載されているApple公式ドキュメント
それも何か月も前に出されているものなんですよね。
大期待してますのでよろしくお願いします。
まさかそれも持たずに
「おいおいなんかAppleがダマでまたなんかいじってきてるぞどうすんだ今後どうなるかもわかんないし困ったぞ」
に追いやられた開発者に責任があるかのように論じるような最低な真似をしているわけではないですよね?
Re: (スコア:0)
ソースがAppleのベータプログラム経由でしか入手できないものだったらNDAがあるから明かせないでしょ
OSアップグレード時の検証 (スコア:1)
デベロッパーなら解ると思うんだけど
iOSって一度OSをアップグレードすると基本的にダウングレードが出来ないから
OSアップグレード時のアプリの動作検証って出来る回数に限りがあるんだよ
これをデベロッパーの怠慢だといわれると正直つらい
Re: (スコア:0)
あいつら正式版リリース一週間前のゴールデンマスターにたまにとんでもないもの突っ込んでくるんだよ(怒
Re: (スコア:0)
しかもリリースノートに何の記載もなしに
Re: (スコア:0)
スクエニの告知自体はかなり早かったよ。
11月中旬頃には告知出てたし。
実装後のテストとストアの承認の時間考えたら、それなりに頑張って対応したんじゃね?
Re: (スコア:0)
各種事例を並べると、
ということのようなので、多分サーバと共有してる秘密鍵かなんかのストレージへのアクセス方法が変わったんでしょうね。
海外でも、 Vasco の MYDIGIPASS とかいうアプリが同じ問題に遭遇してるようですが、原因の詳細は分からず。
https://twitter.com/MyDigipassDevs/status/674555314868379648 [twitter.com]
# 単にみんな、 Vasco の製品使ってただけだったりして
Re: (スコア:0)
> アプリが非対応のまま iOS をアップデートした場合、再度 OTP の初期化手続きが必要
と書いてるのに
> ということのようなので、多分サーバと共有してる秘密鍵かなんかのストレージへのアクセス方法が変わったんでしょうね。
は話がかみ合ってないよ
もしアプリが非対応なことが問題なら、OTPの初期化手続きしたって問題は解決しない(そもそも初期化できるかすら怪しい)
Re: (スコア:0)
こんなん原因がストレージ絡みなの明白だろ
アホか?
キーチェーン (スコア:0)
> ということのようなので、多分サーバと共有してる秘密鍵かなんかのストレージへのアクセス方法が変わったんでしょうね。
私もこれに1票。
で、おそらく↓と同じようなことが起きているのではないかと予想。
ios9 - iOS keychain - errSecItemNotFound with iOS 9.2 beta 3 - Stack Overflow [stackoverflow.com]
Re: (スコア:0)
> 私もこれに1票。
> で、おそらく↓と同じようなことが起きているのではないかと予想。
さんざん言われてるけど、その予想は
アプリはそのままでトークンの再発行をするだけで問題が解決するという事実と矛盾してる
あとそのサイトに記載されているが
> The issue occurs with 64-bit devices only, no problem with 32-bit devices.
とかねぇ
iOS9.2(64bit)側の実装の変化だろそれとしか
Re: (スコア:0)
なるほど。
対応版アプリをiOSアップデート前に一度起動する必要があるところから、想像するに、
アプリ起動時にiOSのバージョンを見て、「サーバと共有してる秘密鍵かなんか」を、
処理を追加したんだろうね。
Re: (スコア:0)
> # 単にみんな、 Vasco の製品使ってただけだったりして
スクエニのハードウェアトークンがDIGIPASS GO 6なので、
ソフトウェアトークンもVasco製でしょうね。
三菱東京UFJや三井住友もVascoっぽいですね。
Re: (スコア:0)
「で、」で始まるサンドバッグ探し
ワンタイムパスワード嫌い (スコア:0)
スクエニではないけれど、ネットゲームで利用していたワンタイムパスワードの再利用手続き完了までに4日かかった事がある
その間はもちろんログイン不可
万が一の事故(ハッキング)に対して非常に有効と言われても
スマホの故障や紛失、そしてこういうOSのアップデートでも使えなくなる可能性があってその都度再利用手続きでしばらくサービス利用不可
利用時のログインの手間も結構感じる
あくまで保険機構にすぎないのに不便さが主張しすぎ
Re: (スコア:0)
嫌なら使うな。ただし、それでアカウントハックの憂き目にあったら自己責任だが
# 将来的には生体認証に置き換わるべきテクノロジだとは常々思ってる
Re: (スコア:0)
生体認証をパスワードに使っちゃうオトコのヒトって…
#しかも「べき」?
Re: (スコア:0)
それはOTP運営があまりにも酷いところを利用してるPS○2ですか?
今後Google認証も利用できるようになるそうですが
Re: (スコア:0)
ワンタイムパスワードが悪いんじゃない。
そんなダメな実装にしてるサービス側が悪いんだ。
とはいえ、完全にワンタイムパスワードが生成できなくなっても対応してくれたなら、素晴らしいというか危ないというか。
普通は、アプリによる生成ができなくなった場合に備えて、別の10個ほどのサブパスワードを発行されるよね。
それでログインは出来るはずだが、そういう対応してないクソサービスもあるだろうな。
部門名 (スコア:0)
OSの場合、小数1位はメジャーアップデートかなと思うが
SDKでしょきっと (スコア:0)
これらのアプリは共通のライブラリなりSDKなりを使ってるんじゃないかな。
それらがiOS9.2に対応してなかったし、対応が遅かったので、全滅したと。
Re: (スコア:0)
> れらのアプリは共通のライブラリなりSDKなりを使ってるんじゃないかな。
> それらがiOS9.2に対応してなかったし、対応が遅かったので、全滅したと。
もしそうなら「アプリはそのままでトークンの再発行をすれば問題がなくなる」ことに説明がつかないよ
Re: (スコア:0)
多分複数の端末での動作を回避するため、バックアップでデータが保存されない様に
/Applications/[GUID]/Documentsではなく/Applications/[GUID]/Cachesや/Applications/[GUID]/tmpに
キー情報を保存する仕様になってたんじゃないの?
それがOSアップデートでクリアされたから消えちゃったと。
もしそうなら再発行で動作するのは当然で
アホな作りだと思いますけど起きた現象と動作は判る気がする。
Re: (スコア:0)
> それがOSアップデートでクリアされたから消えちゃったと。
それなら今までのアップデートでも消えてるはずですけどねぇ。
また別のコメで、
・32bit端末だと問題が起きない、64bit端末でのみ起きるらしい
・iOSバージョンを戻すともとの情報が見えるようになるらしい
という話もあるね、真偽は不明だけど
Re: (スコア:0)
・実はXOR暗号のキーを変えた。
・デフォルトのデータ構造体のメモリレイアウトが変わった。
と、ここまで書いて思ったけど、構造体のパディング回りの挙動が変わってバグった?
個人的にはこっちの方を直してほしい (スコア:0)
Safariの画面崩れ
いつになったらなおるんでせうか
Re: (スコア:0)
んなもん起きたことないぞ。
問題のあるサイト側に言った方が早いと思われる。