パスワードを忘れた? アカウント作成
12618056 story
iPhone

iOS 9.2へのアップデートで複数のワンタイムパスワード生成アプリにトラブル 49

ストーリー by hylom
せめてマイナーアップデートくらい穏便にやらせてくれ 部門より
insiderman 曰く、

近年ではネットバンキングなどでスマートフォンアプリを使ったワンタイムパスワード認証が採用されているが、三菱東京UFJ銀行や三井住友銀行のワンタイムパスワードアプリで、12月9日にリリースされたiOS 9.2にアップデートすると正しく利用できなくなるという問題が出ている模様(三菱東京UFJ銀行のお知らせ三井住友銀行のスマートフォンアプリページ)。

iOS 9.2にアップデートした場合、ワンタイムパスワードの利用登録を再度行う必要があるという。また、同様の認証アプリ(ソフトウェアトークン)を提供しているオンラインゲーム「ファイナルファンタジーXIV」でも、ソフトウェアトークンが起動しなくなる問題が確認されているという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年12月15日 6時56分 (#2934859)

    アップデーターがポカしたの?
    アプリの実装方法が悪いの?
    どっち?

    • by Anonymous Coward

      サーバー側の問題に一票。

      https://www.ssllabs.com/ssltest/analyze.html?d=entry11.bk.mufg.jp [ssllabs.com]
      >Apple ATS 9 / iOS 9 R Protocol or cipher suite mismatch
      https://www.ssllabs.com/ssltest/analyze.html?d=smbc.co.jp [ssllabs.com]
      >Apple ATS 9 / iOS 9 R Protocol or cipher suite mismatch

      • by Anonymous Coward

        あ、再度手続きすれば問題ないらしいので、サーバーは関係ないかも。

    • by Anonymous Coward

      アプリの実装方法の問題。
      スクエニ(FF14)は昨日アップデートで対応済みだし。

      • by Anonymous Coward on 2015年12月15日 9時14分 (#2934891)

        > アプリの実装方法の問題。

        仮にOS側が勝手にトークンを無効にする処理入れてきたとかAPI変えてきたとかだと
        「アプリの実装の問題ではない」わけで、
        アプリの実装の問題だと断言するなら明確なソースをよろしくお願いします。

        これはアプリ側が修正で対応したかどうかとは一切関係ないですよ、念のためですけど

        親コメント
      • by Anonymous Coward

        1Passwordは何もしなくてもちゃんと引き継がれてましたね。
        まああれは元々iOSとWindows間でも同期出来てたりしますが。

      • by Anonymous Coward

        巷のネットワークゲームのワンタイムパスワードってOATH TOTP ( RFC6238 [ietf.org])だと思うけど、私が使っている OATH Token [apple.com] というアプリは昔導入した鍵も含めてiOS9.2にしても使えていますよ。
        実装方法の問題じゃないのかな。 これ使えなくなったら職場のマシンにログインできなくなるので、大変。

        個人的にはワンタイムパスワードよりも

        • by Anonymous Coward

          > 実装方法の問題じゃないのかな。

          実装方法の問題なら「アプリはそのままでトークンを再発行すれば解決する」こととの整合性が取れない
          トークンの新規発行や既存トークンの検証で、iOS9.2の内部処理が変わった
          (なのでアプリはそのままでもトークンの新規発行からやり直せば問題が解決する)のが原因とほぼ確定してる

          • by Anonymous Coward on 2015年12月15日 14時21分 (#2935084)

            キーをキャッシュディレクトリに保存したから、OSアップデートで消されちゃった、とか。
            自分はAuthy使ってるけど問題なかった。Keychainに保存してるんじゃないかな。

            まぁなんにせよ、日本の大企業がリリースしてくるアプリはクソな場合が多い。
            技術力がないというか。ろくに「スワイプで戻る」にも対応してないし、無駄にWebView多用するし。
            UIもクソだし。UXをちゃんと考える人がいないんだろうなぁ。いても何もわかってないお偉いさんがそういうのに金かけないのかな。

            親コメント
  • by Anonymous Coward on 2015年12月15日 9時06分 (#2934884)

    で、原因は何なの?
    トークンのもとになるIDか乱数が変わったの?

    • by Anonymous Coward on 2015年12月15日 9時40分 (#2934904)

      > トークンのもとになるIDか乱数が変わったの?

      推測だけど、
      トークンの新規発行や既存トークンの検証で使えるアルゴリズムやキー長など強度条件がiOS9.2で一方的に減らされたんだろう
      んで切られた強度条件で発行していた既存トークンが死亡
      iOS9.2でも引き続き使える強度条件でトークンを再発行すればいい、とかそんなんが濃厚

      その先としてなんで黙って減らすような真似してきたのか?って話になると、
      これまでのiOSの該当強度条件の実装に致命的脆弱性とかあって
      苦し紛れに皆殺しにしてきてるんじゃねとかそんな話になるけど
      この辺はAppleは絶対に情報公開しないだろうから推測からは進まないね

      セキュリティにについてAppleの秘密体質には付き合うだけ無駄

      親コメント
      • 多分いちばん一般的な仕様であろう OATH TOTP は HMAC HASH しかつかわないので、SHA-1 が切られて、あわてて SHA256 に切り替えたとかそんなの?

        親コメント
        • by Anonymous Coward

          HMAC-SHA1は廃止の対象外のはずだが(通常のSHA1のような大幅な弱点はまだ見つかっていない)。SSL/TLSの暗号スイートでも(AEADのものを除いて)SHA1とは実はHMAC-SHA1のことだから廃止対象になっていないし。

      • by Anonymous Coward

        推測だけでここまで妄想するとか、なかなかですね

      • by Anonymous Coward

        何ヶ月も前からベーター版を配布して変更点を告知してるのに対応しないアプリ側の怠慢が問題です
        やる気がないならデベロッパーID返上しろ

        • by Anonymous Coward on 2015年12月15日 11時45分 (#2934978)

          > 何ヶ月も前からベーター版を配布して変更点を告知してるのに対応しないアプリ側の怠慢が問題です

          はい、ではその「変更点を告知している」ソースをぜひ出してください。
          今回の問題の原因である可能性が高いトークンの扱いについてバッチリ明確に記載されているApple公式ドキュメント
          それも何か月も前に出されているものなんですよね。
          大期待してますのでよろしくお願いします。

          まさかそれも持たずに
          「おいおいなんかAppleがダマでまたなんかいじってきてるぞどうすんだ今後どうなるかもわかんないし困ったぞ」
          に追いやられた開発者に責任があるかのように論じるような最低な真似をしているわけではないですよね?

          親コメント
          • by Anonymous Coward

            ソースがAppleのベータプログラム経由でしか入手できないものだったらNDAがあるから明かせないでしょ

        • by Anonymous Coward on 2015年12月15日 12時20分 (#2935006)

          デベロッパーなら解ると思うんだけど
          iOSって一度OSをアップグレードすると基本的にダウングレードが出来ないから
          OSアップグレード時のアプリの動作検証って出来る回数に限りがあるんだよ

          これをデベロッパーの怠慢だといわれると正直つらい

          親コメント
        • by Anonymous Coward

          あいつら正式版リリース一週間前のゴールデンマスターにたまにとんでもないもの突っ込んでくるんだよ(怒

          • by Anonymous Coward

            しかもリリースノートに何の記載もなしに

        • by Anonymous Coward

          スクエニの告知自体はかなり早かったよ。
          11月中旬頃には告知出てたし。
          実装後のテストとストアの承認の時間考えたら、それなりに頑張って対応したんじゃね?

    • by Anonymous Coward

      各種事例を並べると、

      • アプリが非対応のまま iOS をアップデートした場合、再度 OTP の初期化手続きが必要
      • アプリを対応版にアップデートさせて一度起動させれば、その後 iOS をアップデートしても問題なく利用できる

      ということのようなので、多分サーバと共有してる秘密鍵かなんかのストレージへのアクセス方法が変わったんでしょうね。

      海外でも、 Vasco の MYDIGIPASS とかいうアプリが同じ問題に遭遇してるようですが、原因の詳細は分からず。
      https://twitter.com/MyDigipassDevs/status/674555314868379648 [twitter.com]
      # 単にみんな、 Vasco の製品使ってただけだったりして

      • by Anonymous Coward

        > アプリが非対応のまま iOS をアップデートした場合、再度 OTP の初期化手続きが必要

        と書いてるのに

        > ということのようなので、多分サーバと共有してる秘密鍵かなんかのストレージへのアクセス方法が変わったんでしょうね。

        は話がかみ合ってないよ
        もしアプリが非対応なことが問題なら、OTPの初期化手続きしたって問題は解決しない(そもそも初期化できるかすら怪しい)

        • by Anonymous Coward

          こんなん原因がストレージ絡みなの明白だろ
          アホか?

      • by Anonymous Coward

        > ということのようなので、多分サーバと共有してる秘密鍵かなんかのストレージへのアクセス方法が変わったんでしょうね。

        私もこれに1票。
        で、おそらく↓と同じようなことが起きているのではないかと予想。

        ios9 - iOS keychain - errSecItemNotFound with iOS 9.2 beta 3 - Stack Overflow [stackoverflow.com]

        • by Anonymous Coward

          > 私もこれに1票。
          > で、おそらく↓と同じようなことが起きているのではないかと予想。

          さんざん言われてるけど、その予想は
          アプリはそのままでトークンの再発行をするだけで問題が解決するという事実と矛盾してる

          あとそのサイトに記載されているが

          > The issue occurs with 64-bit devices only, no problem with 32-bit devices.

          とかねぇ
          iOS9.2(64bit)側の実装の変化だろそれとしか

      • by Anonymous Coward

        なるほど。
        対応版アプリをiOSアップデート前に一度起動する必要があるところから、想像するに、
        アプリ起動時にiOSのバージョンを見て、「サーバと共有してる秘密鍵かなんか」を、

        • 別のストレージに退避する(バージョンが古い場合)
        • 退避元から本来のストレージへ書き戻す(バージョンが新しい場合)

        処理を追加したんだろうね。

      • by Anonymous Coward

        > # 単にみんな、 Vasco の製品使ってただけだったりして

        スクエニのハードウェアトークンがDIGIPASS GO 6なので、
        ソフトウェアトークンもVasco製でしょうね。
        三菱東京UFJや三井住友もVascoっぽいですね。

    • by Anonymous Coward

      「で、」で始まるサンドバッグ探し

  • by Anonymous Coward on 2015年12月15日 9時26分 (#2934897)

    スクエニではないけれど、ネットゲームで利用していたワンタイムパスワードの再利用手続き完了までに4日かかった事がある
    その間はもちろんログイン不可
    万が一の事故(ハッキング)に対して非常に有効と言われても
    スマホの故障や紛失、そしてこういうOSのアップデートでも使えなくなる可能性があってその都度再利用手続きでしばらくサービス利用不可
    利用時のログインの手間も結構感じる
    あくまで保険機構にすぎないのに不便さが主張しすぎ

    • by Anonymous Coward

      嫌なら使うな。ただし、それでアカウントハックの憂き目にあったら自己責任だが

      # 将来的には生体認証に置き換わるべきテクノロジだとは常々思ってる

      • by Anonymous Coward

        生体認証をパスワードに使っちゃうオトコのヒトって…

        #しかも「べき」?

    • by Anonymous Coward

      それはOTP運営があまりにも酷いところを利用してるPS○2ですか?
      今後Google認証も利用できるようになるそうですが

    • by Anonymous Coward

      ワンタイムパスワードが悪いんじゃない。
      そんなダメな実装にしてるサービス側が悪いんだ。

      とはいえ、完全にワンタイムパスワードが生成できなくなっても対応してくれたなら、素晴らしいというか危ないというか。
      普通は、アプリによる生成ができなくなった場合に備えて、別の10個ほどのサブパスワードを発行されるよね。
      それでログインは出来るはずだが、そういう対応してないクソサービスもあるだろうな。

  • by Anonymous Coward on 2015年12月15日 9時30分 (#2934900)

    OSの場合、小数1位はメジャーアップデートかなと思うが

  • by Anonymous Coward on 2015年12月15日 9時44分 (#2934907)

    これらのアプリは共通のライブラリなりSDKなりを使ってるんじゃないかな。
    それらがiOS9.2に対応してなかったし、対応が遅かったので、全滅したと。

    • by Anonymous Coward

      > れらのアプリは共通のライブラリなりSDKなりを使ってるんじゃないかな。
      > それらがiOS9.2に対応してなかったし、対応が遅かったので、全滅したと。

      もしそうなら「アプリはそのままでトークンの再発行をすれば問題がなくなる」ことに説明がつかないよ

      • by Anonymous Coward

        多分複数の端末での動作を回避するため、バックアップでデータが保存されない様に
        /Applications/[GUID]/Documentsではなく/Applications/[GUID]/Cachesや/Applications/[GUID]/tmpに
        キー情報を保存する仕様になってたんじゃないの?
        それがOSアップデートでクリアされたから消えちゃったと。
        もしそうなら再発行で動作するのは当然で
        アホな作りだと思いますけど起きた現象と動作は判る気がする。

        • by Anonymous Coward

          > それがOSアップデートでクリアされたから消えちゃったと。

          それなら今までのアップデートでも消えてるはずですけどねぇ。

          また別のコメで、

          ・32bit端末だと問題が起きない、64bit端末でのみ起きるらしい
          ・iOSバージョンを戻すともとの情報が見えるようになるらしい

          という話もあるね、真偽は不明だけど

          • by Anonymous Coward

            ・実はXOR暗号のキーを変えた。
            ・デフォルトのデータ構造体のメモリレイアウトが変わった。

            と、ここまで書いて思ったけど、構造体のパディング回りの挙動が変わってバグった?

  • by Anonymous Coward on 2015年12月15日 11時00分 (#2934953)

    Safariの画面崩れ
    いつになったらなおるんでせうか

    • by Anonymous Coward

      んなもん起きたことないぞ。
      問題のあるサイト側に言った方が早いと思われる。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...