unnamed

https://asahi.5ch.net/test/read.cgi/newsplus/1598803428/

1: サーバル ★ 2020/08/31(月) 01:03:48.48 ID:SSFJfAIK9
■新型コロナウイルス接触確認アプリ(COCOA)で攻撃できる問題

はじめに

#COCOAボランティアデバッグ に尽力されている皆様に深い敬意を表します。
併せて、 OSS コミュニティへの悪影響を残している関係行政機関・各社担当者を強く軽蔑します。
project dead? · Issue #773 · Covid-19Radar/Covid19Radar · GitHub
COCOA が抱えるアプリケーション設計上の問題点

攻撃者が COVID-19 感染者になりすまして「陽性情報の登録」を比較的容易に行える設計であること

登録に必要な「処理番号」のフォーマットは半角数字8桁であることが明示されてしまっている
ブルートフォース対策としてなのか、複数回の入力ミス発生時は「登録回数上限になりました。アプリケーションを終了します」としてアプリケーションが強制終了するが、特にそれ以上のペナルティは確認できない
SMS による処理番号通知を行っているのであれば、8桁数字ではなくハッシュ値を含む URL による登録など、ブルートフォース対策を含めた登録方法とするべきでは無かったか?
接触記録の条件である「概ね1メートル以内で15分以上」の距離条件を大きく逸脱している可能性があること

(注) これはアプリケーション固有の問題ではない( Apple-Google API の問題)が、前項の問題点と併せることで脅威となりうるので便宜的に示しておきます
この API は端末間距離を Bluetooth の電波強度により測定しているとしているが、実際の距離を担保するものではない
5m 離れていてもこの API による接触記録対象となる可能性がある
Corona-Warn-Apps: Studie findet Probleme bei der Kontaktverfolgung im ÖPNV | heise online
これにより後程示す悪用者が居なくとも COCOA 利用者が「陽性者と接触した旨の通知を過剰に受ける」脅威にさらされている可能性が考えられる
日本国内における現行法制下では代案を示すことが難しい問題であるが、まずは第三者による検証が求められる
COCOA が抱える運用上の問題点

※一部で報じられている「保健所から COCOA への陽性情報の登録に必要な処理番号が即日発行されない」などの問題もありますが、ここでは省略します
COCOA により陽性者と接触した旨の通知を受け取ると感染症コールセンターへの連絡を促され PCR 検査を受けることになる
余談レベルだが、感染症コールセンターを始めとする各所への通話料金は COCOA 導入者自身が負担することになる

(略)

細かい説明や具体的な表現は控えましたが、この攻撃を仮に受けたとして致命傷に近いダメージを受ける事業者は少なくないと思います。
事業所単位で COCOA の導入を推奨している管理者は直ちに見直すことを推奨します。
まとめ

本日より COCOA の導入を促すテレビCMが放映されているようです。( #検察庁法改正案に抗議します で一躍有名になったきゃりーぱみゅぱみゅ氏などが出演されているようです)
一方で COCOA アプリケーションのリリースは 2020年7月13日 にリリースされた v1.1.2 を最後にアップデートが途絶えており、不具合ととれる多数の事象は解決されず、上記に挙げたような問題点が払拭されることも残念ながら当面は無さそうです。

世間では高ぶる正義感からか COCOA の導入を声高らかに勧めたり、従業員やビジネスパートナーに導入を強いている管理者も現れているようです。
このエントリを通じて、そのような方々へ抵抗出来る材料が提供できれば幸いです。
余談

冒頭のように COCOA の原型であるとされる Covid-19Radar/Covid19Radar プロジェクトも OSS にあるまじき「放置状態」が続いています。
これが GitHub を買収した企業に所属する人間の所作ですか?

IT/ICT や OSS を通じて昨今の COVID-19 感染拡大を発端とする諸問題を解決する動きは支持したいですが、このような杜撰なサービス運営により IT/ICT や OSS に対する世間の期待を悪化させることを強く憂慮しています。

https://anond.hatelabo.jp/20200830172134

https://github.com/Covid-19Radar/Covid19Radar/issues/773

【【COCOA】接触確認アプリに「陽性情報の登録を総当たりで登録できる」脆弱性 ボランティアが発見し修正依頼→無視され更新もなし】の続きを読む