『コロナワクチン接種証明アプリ』が
本日12月20日からリリース!!
しかし……
デジタル庁が「新型コロナワクチン接種証明書アプリ」を配信開始。利用開始にはマイナンバーカード必須。ダウンロードURLは下記の通りです。
— 小口貴宏 / EngadgetJP (@TKoguchi787) December 19, 2021
iOShttps://t.co/fzFBJshEgX
Android⁰https://t.co/30siQGHUn8https://t.co/6iKCTffwW3
IOS
Android
↓
↓
↓
↓
なんとなくコロナワクチン接種証明アプリの通信解析をしてみたんだが、アプリがサーバ証明書確認せずに情報送信してるから、SSLインスペクションで送受信データが見えてしまうんだが・・・
— どなるどだっく (@burasuzukun) December 19, 2021
マイナンバーカードのRawデータが丸見えです。 pic.twitter.com/6Ot5owQ6mD
なんとなくコロナワクチン接種証明アプリの
通信解析をしてみたんだが、
アプリがサーバ証明書確認せずに情報送信してるから、
SSLインスペクションで送受信データが見えてしまうんだが・・・
マイナンバーカードのRawデータが丸見えです。
暗号化はされてます。しかし、特殊な環境下であれば簡単に復号化できてしまいます。
— どなるどだっく (@burasuzukun) December 19, 2021
これどうヤバいのか簡単に言うと、Wi-Fiを勝手に接続してしまう設定にしてると第三者にマイナンバー情報が抜かれる可能性がある。 https://t.co/kHM2VxXZO2
— Toy (@mineral1216) December 20, 2021
これどうヤバいのか簡単に言うと、
Wi-Fiを勝手に接続してしまう設定にしてると
第三者にマイナンバー情報が抜かれる可能性がある。。
普通警告が入る内容なのに、素通りして仕様であるというのがヤバいですね🤣デジタル庁大丈夫? https://t.co/q7RKl3aTee
— 510 (@510_h7531) December 20, 2021
結局cocoaはゴミアプリだったって事が証明されたが、コロナワクチン接種証明アプリもゴミ臭がプンプンしてきます💁♂️
— Hunterマー (@Hunter364457105) December 20, 2021
そもそもこのアプリ出すの遅すぎだし必要ない。 https://t.co/BzocquHxdk
この記事への反応
・証明書のpiningしてない感じですね。
共有しておきます。
・偽装野良Wi-Fiしかけて今なら個人情報取り放題か。
・確認あった方がいいよねっていうレベルの話で
そもそも証明書がないフリーWiFiに接続するなよって感じ
・技術者側の目線として、こういう脆弱性が露見されると
「じゃあ、うちのツールはどうなんだ」って
総ざらいさせられかねないからめんどい
・ガバガバわろた…はぁ…またか…
・詳しくないから何ともだけど、
SEで特殊なことができるなら
それは開発元とか然るべきとこにこっそり言うもんじゃないの?
・こう言うことを仕事で受けたら1000万単位のお金が動きます
そんなこと無償で教えちゃダメです
・引用RT見てたら早速日本はIT後進国だの
ガバガバアプリだののRTが大量についてて草
もう終わりだよこの国。
つまり自宅の安全なWi-Fiで繋がないと
外部Wi-Fiとかだと個人情報抜かれる危険が…!?
これやばくない?
外部Wi-Fiとかだと個人情報抜かれる危険が…!?
これやばくない?
他の一般企業なら何かやらかしたらそれなりの責任を取らされるが
こいつらは何やらかしても鼻くそほじってるだけだし
ただセキュリティ考えるなら現物(紙)の方がいいよ
他の一般企業なら何かやらかしたらそれなりの責任を取らされるが
こいつらは何やらかしても鼻くそほじってるだけだし
中抜きの事ばっかり考えてるからろくな物が作れないんだよ
マイナンバーの情報は既に漏洩してるし
これからも漏洩する
接種証明なんて紙でもらってるし
我々も遠慮なく合法的に盗もうぜ
二重で搾取する国ニッポン
無能なら働き者って一番タチ悪いんだよ
下請けしまくって、中国や韓国企業にアプリ発注してんじゃね?
教えて、はちま民
リテラシー低いアホなら抜かれて当然だろ
???「どうだい?潰れても痛くも痒くもない業界が犠牲になるだけの、
このコロナ禍という茶番のおかげで、儲けさせたい業界が合法的にガッポリと儲かる仕組みは?w」
セキュリティしっかりしてることに越したことはないけど
サーバーと接続開始した時にワンタイムパスなりを取得して、それを元にアプリ内自体で別に暗号化をかけてから送信。
紙の証明書もっていればいらないじゃんw
プログラマ「この価格じゃちょっと」
分かってて放置する方が酷いけどな
分かった時点で周知して被害者を減らすだけでも放置させるよりいい
海外旅行でもするやつくらいじゃない?
傍聴目的で構築された知らんwifiでアプリ使うと偽装サーバに接続→中身みられる
流石期待を裏切らんわ
受け入れテストすらしてないってオチかよ。COCOAから何も変わってねぇ。
何のセキュリティもないフリーWIFIで個人情報を扱う通信を行う方も相当イカれてる
何のセキュリティもないフリーWIFIで個人情報を扱う通信を行う方も相当イカれてる
いい加減セキュリティ強化に予算を割いてほしい
こんなんだから書類の山に埋もれてしまうんだよ
これな
結局の所直接じゃなく仲介を使って仕事頼んでるから仲介が仲介に頼んでその仲介がって感じどんどん中抜きされていくという構造になってるのが悪いとしか 大体竹中当たりが悪いけど
最低でも7割の人は使えないわけだけれど、提示を要求してくるような店って売上激減しちゃうんじゃないの?
隣の国のコロナのアプリ障害が起きて大きい規模で身動きとれない状態になってたぞ。店でも必要とかしてる場所があるからだろ
不満は分かるが予算を入れない限り
永遠にセキュリティ強化ができない
人と仕組みを育てないと駄目だ
もう上級国民の無能息子ばかりなのでは?
予算入れてもその予算が中抜きされていく構造だからあまり意味ないと思うぞ
デジタル人民元やらデジタルユーロに日本の金持ちが流れる未来しか見えないよな・・・
ミラボっていうスタートアップ企業や
ちなみにワクチン接種記録システム(VRS)も受注もこのミラボだけど
なんと納期2週間という注文に対応して案件勝ち取った謎の新興スーパー企業よ
中抜きと言うなら具体的な代替案が必要
どうすればセキュリティに力を入れたソフトが作れるか?
人任せじゃ変わらんよ
単に叩きたいだけなんじゃないの?
こんな政府にマイナンバー管理なんて無理無理wwwwwwwww
なんで?バグは放置しろと…
アホの人?
> それは開発元とか然るべきとこにこっそり言うもんじゃないの?
こういう人は「無料でやってよ」って平気で言いそう
納期2週間!マジかよ!
ソースプリーズ!
語ってねーじゃん
脆弱性発見したって言ってるだけ
やばいのはお前の頭
名簿業者が実在してるし
住民基本台帳を悪用して、犯行に及んだ人もいる
マイナンバーもアプリも中抜きの為にあるようなもので不要な物
ピント外れ
クソは書き込みするな
ワクチンの予約サイトと一緒でしょう
脆弱性はいきなり社会に公開せずJPCERT等を通すべき
盗聴されたからってなにが問題なんだよ
白痴か??
至極当然
さっさと上級を標的にして分からせてほしいわ
いくらゴミを生み出してもなんの責任もないんだからw
そりゃ成長しねーっすわ
白痴?
戦争か今のコロナ禍延長をきっかけに世界恐慌が起こり、日本も例外なく破綻してハイパーインフレ化し、預金封鎖してからデノミを行う際に「デジタル円」への移行を国民に強いるシナリオだと思う。
もちろん、今回のような不手際の対策や解消なんか放置したままでw
粗探しのためにやっただけだろうに
犯罪する予定のやつにそれ犯罪ですよっていうのはアホなんじゃないか?
インターネット上のことを日本だけの法律でしばっても意味はないしな
末端が0円なのは知ってるからいいよ
それならセキュリティホールでなく
単にこの所有者がセキュリティゼロの状態にしてるだけか・・・
こんなの不具合のうちに入らない
そんな設定してるやつはこれ以前にとっくに情報抜かれてる
誰も困らないね
いや、騙されたがこれは単に本人の端末がPINコードのセキュリティをかけてないだけ
端的に言うとスカート覗きをできるセキュリティホールではなく
そもそも本人が認証情報ならぬ衣服を一切着けない全裸の露出狂状態
これは不具合とは言えないし普通の人なら盗まれない
マイナンバーカード必須だろ
知能か低すぎる
アプリ作った連中はプロなんだから気付けよと思うわ
奴隷は言われた通りにワクチンを接種して、接種証明アプリもインストールし、「ちゃんと管理されて」下さいね^^
piningもかけず勝手に危ない危ない言うとは人騒がせな奴だ
気づくも何も問題ないぞ
いないよね?
マイナンバーだけ抜かれても何の意味もないけど
顔や名前とセットで取られるのは流石に嫌だな
フリーWi-Fiに繋げるなんて、十分に特殊な環境だわな。
マジで今からでも国民全員に情報教育しないといけないよ
どうだろうね
どの国にもなんとしてでも政府を叩きたい奴はいるから,他の国でもこんなのにも食いつく奴はいると思うわ
こういうアホどもがいるから見出しのフェイクニュースとかが流行るんだろうな
今回みたいに情報漏洩がとかインパクトある言葉を使えば知識もないのにすぐ危ないものと信じ込むんだから
このツイート主の言ってること自体が相当特殊な環境じゃなきゃ抜かれることはないって答えを示してんのに
まじでこれ
フリーWi-Fiが危ないなんてのはそれこそ10年くらい前から言われてんのにな
日本がIT後進国なことに気づいてないよね
ぶっちゃけ中国のほうがハッカーが多いぶん
セキュリティかなり強固だよ
クレカ情報抜かれるわけでも勝手に口座が作れるわけでもない
具体的にどう被害が出るんだよ
残念ながらキミの頭のがヤバいよ
ただ情報が抜かれるって言葉だけ見て中身なにも理解できてないでしょ
フリーwifi使った時点で全部抜かれると思えよ
クレカ情報流出でクレカ不正利用の被害出てるんだよなぁ
なぜか騒がれないけど
これな
スマホ所有者の9割は使っているであろうライン使ってる時点で完全にギャグなんよな正直
ありがとうなるほどね
マイナンバー情報なんてやり取りしないからね
同じに考えてる時点でアホ
普通のアプリと一緒に考えてるアホがおる
そもそも本当はマイナンバー自体他人に知られても問題ないんだけどね
エストニアとかは誰にでも教えていいってルールでやってるし
マイナンバーは困るんだよ
何が他のアプリも危険じゃんだよwww
アホか
いや、これサーバ証明書を検証していないなら問題だけど、piningしていないだけなら問題ないぞ
自分で中身見れるだけなら普通だから、これは誤報の可能性がある
だから?
エストニアの運用で平気でも日本で平気だって保証有るんですかぁ?
安全だって保証が有るなら説明してくださいよ
海外でも夜道を歩いて平気だと思ってるんですか?
エストニアなら平気なら日本でも平気なんですか?
何で平気だって言えるんですか?本当に安全なんですか?
なんで安全だってわかるんですか?
うん、あるよ。運用の問題ではないから
メールアドレスとか他人に教えても問題ないでしょ、それと同じ
国が自治体より遅い上に欠陥アプリ出してくるなんて
これが欠陥でLINE使うのが欠陥じゃないって君は頭おかしいのかい?
自動接続リストに登録しているスポットだけ有効にすればええだけの話
てか特にいじってなければスマホ購入時からそういう設定になってるはず
システム仕様もわかってないのに何が安全なんです?
メールアドレスとマイナンバーの運用が同じレベルのセキュリティで十分だと思ってるんですかぁ?
私は安全たる根拠を聞いているんですよ
聞きたいのは、あなたの感想じゃあない
適当な数字の羅列でしか無いやら
他のアプリ、サービスも野良に接続するとIDとパスは流れる
よく出来てるとは言い難いが中途半端なエンジニアが足引っ張んなよ。。
それは必ずあるね。しかもそこまでの警戒はしない
IDとパスワード入れたら両方抜かれるようなもんやし
システムの仕様は公開されますよ、なので分かってます
私はシステム仕様を分かっていたので根拠を持って話していたが、あなたは分からなかったのであなたのは感想
はい、これであなたと私の違いが分かったので決着がつきましたね
詐欺師が詐欺に引っかかる方が悪いよねって言ってる様なものだねw
これが一般に浸透するころにはワクチン接種自体が要らない状況になってるかもしれん
ドヤ顔でファーウェイ使ってるギャグ
秘密鍵とかの話やろ?
普通にダウンロードできないとかあったからなあ
管理者を信頼できないWiFiを使ったら危ないって話だから十分大ごと
基本的に電気通信事業法の規制を受けてないWiFiをつかうなってことだから、知り合いの家でWiFiを借りるのもアウトだよ
証明書エラーのスルーは重大な脆弱性です
あほか
正しく証明書を検証してるアプリなら通信が止まるので安全です
いいえ違います
いつになったら中抜きの誤用直るの?
国主導でもこのザマかよ。
他国からすりゃスパイやりたい放題だろ。
モバイル回線なら第一種電気通信事業者なので(法律を遵守してる業者なら)安全
毎日数億回サイバー攻撃防いでるけどね
VPNの管理者を信頼できるなら安全
無料VPNの管理者を信頼できるならね
自分で設置したVPNサーバーに接続するなら、設置した自分を信用できるなら安全
正しく証明書を検証していれば中間者攻撃を検知できる(機密情報を送る前に通信を中断できる)ので、独自の暗号化なんていらないし無意味
手遅れなバカか、日本人じゃないから無理だよ
ワイ「せやな」
Twitter民「フリーwifiに繋ぐと情報全部抜かれる」
ワイ「せやな」
Twitter民「だからこのアプリは危ない」
ワイ「???」
なんの犯罪?
不正アクセス禁止法には該当しないぞ
そんなアプリが本当に存在してると思ってるならおめでてーな
フリーWi-Fi使うようなアホに配慮してくれる新設なアプリはそうそうねーよ
おるからあちこちでとんでるんだぜ
実際なにもできん
せいぜいその個人情報を名簿レベルで売ることだけど、そんなの現行のスマホアプリの大半がやってることだしな
なんでデマ記事載せてるの?
防ぎきれてなさそう
この国のITインテリジェンス能力は最底辺なんだから役に立たないチンピラ悪党しかいないんだよ
まともな悪党ならその辺もうまくやれるし最低限きっちりやるとこは〆るからいいが
チンピラ悪党は周りのことも考えずに自分の我欲しか追及しないからな
いや、このゴミアプリ、証明書も検証してないやん。
ここはデマツイに騙されてる情弱が多いけど
検証はちゃんとやってるよ
釣られ過ぎだよ
公衆wifiに繋ぐ池沼いないだろうとは思うけど
現実は情弱だらけ
まぁデジタル庁を名乗るならそれすら考慮するアプリ作れよ
サーバ証明書を検証していないことと、piningしていないことは違う。どっちなの? 前者は脆弱性、後者は自由。自分で中身を見られるのは何の問題もない(ように内部プロトコルが設計されているべき)なのでpiningは必要でない。
らしいぞはちま
Wifi繋いでも特に問題無い仕様だよ。
国のデジタル関係信用するとか馬鹿w
調べてみたけど証明書検証は正しくされていて、証明書 pining していないだけ。大抵のアプリは証明書 pining なんかしてないし、これは別に脆弱性でもない。ユーザが信用出来ない WiFi を使っていても、第三者に通信を解析されたり改竄されることは無いです (アプリで通信エラーになる) 。
だってよはちま
誤報と政権批判したいパヨが組んで無茶苦茶言ってるだけ。いつものやつだぞ。
頭だけじゃなくスマホにもアルミホイル巻いて保護しとけ
>それは開発元とか然るべきとこにこっそり言うもんじゃないの?
ガバ過ぎて見つけられる人大勢いるから
一人がこっそり言ったところで誰かが漏らすから無駄
OS側に自分でデバッグ用root証明書を入れて、途中のローカルプロキシで付け直してアプリのデバッグするツールが使える俺カッコイイ、なら正しい。
システム系の話には疎いから、何が正しいのかわからん。
ガバガバ
日本はもうダメなのか
日本をダメにしてるのはお前みたいな奴だよ
君みたいなシステムに疎い人をだますためにそれっぽいことを言っているだけのツィートだよ。
既に元のやつボコボコにされているから。
その対策に何千万かかかるって言うなら別に無視していいと思うわ
このアプリはきちんと暗号化しているので安全。最初のツイートは自分がなにやっているかわからず危険。新しいAndroidならツイート者スマホに「監視されています」警告が出続けるのでツイート者も気がつくはず。
当然、他のセキュリティ問題は潜んでいるかもしれないがどのソフトも同じ
まとめ乙
解散
アンチウイルスソフト会社が今時free Wi-fi危ないと昔話をするのはポジショントーク。危ないのは古いパソコンメールソフトや古いスマホOS。
しかも大金の税金かけて
政府もやればできるやんけ
技術力高くて凄いと思われてそうだけど
脆弱性を見つけて当局に報告もせずに全世界に拡散とかやっちゃいけない事だよ
虚栄心丸出しの恥ずべき行為だ
・誤情報を検証もせず信じて拡散しまくる奴
・検証せずまとめサイトで公開する奴
馬鹿の三乗がこの騒ぎを招来したのである。
少しは調査しろよはちま
こんなんより先にLINEを削除するのが先やろ
脆弱性があるって部分すら妄想だけどな
あらゆる環境で利用可能であるべきアプリなんだから、外すの当たり前だろ
つけてたからって別にセキュリティ強度が上がるってもんでもない気休めの技術に非対応だからってセキュリティに問題がっ!とか何もわかってない素人じゃん
してるよ
バカがしてないってイチャモン付けてるだけ
どこも問題ないように見えるが?
防ぎきれてるから平和なんやろ
防げてなかったら真っ先にお前が死んどる
簡単に騙されてるお前みたいな無能を見るとデジタル庁の必要性がよくわかる
根本的にTwitterの時点で疑わない奴はどうしようもないね
相手してもしょうがないまである
作ったしセキュリティ万全だぞ
馬鹿はお前
特に問題の無い仕様で良かった
お前みたいな無能でもデータ抜かれないように作って下さってるんだよ
脆弱性がないと証明されてるが?
遅れてるのはお前だけだったね
見れるわけねーだろ
何も知らんのによくそんな嘘つけるな
どこに無駄があるの?
おじいちゃん以下のお前がやるよりマシだったのは証明されたな
どういう記事をまとめるかちゃんと連絡しあってなさそう
自分のスマホを解析して暗号化された自分のデータが見れるのを脆弱性とは言わん
学ばないなー
そうすれば、緊張感をもって仕事が出来るだろ?
もしかして今時のスマホOSやアプリでもFree Wi-fiで情報抜かれると思ってる?
デバッグツールの証明書を信頼できるroot証明書ストアに追加する、の意味もわかっていなかった模様
とてもクリアで、証明書付きAWSのAPIアクセスに対して自分のスマホOSをデバッグ状態にして得意げに自分のやりとりを公開した。もちろん他人のは読めない。
最新ツイートでAPIが公開されていて危ないと思ったとか言ってるし、これから勉強いただければ
本当に良い人ならこんな公表はせずに開発元に伝えるだろ
本人の自己紹介通り、ガチもんのぽんこつSEだぞ。。
流石にイチャンモンで草
数ヶ月で1億って普通にありえない
こんなシステムなら2000万もかからんだろ?
これ
というか逆にpiningしてたら、むしろセキュリティ的にやばいわ
この自称SEが、頭悪すぎて勘違いしてるだけやね
よくセキュリティのこと知りもしないのに、パソコンの大先生の尻馬にのった人たちはご愁傷様w テスラ缶信じてる反ワクチン並のアホ晒してるわ
暗号化されていたデータをデコードしてそれを何らかの事に利用したら不正アクセス禁止法に抵触するよ
フツーに犯罪だから
え?じゃあ利用しなきゃいい?だったらデコードする意味ねえだろバカ
はちま、早く修正しろ
嘘がバレても訂正しないいつものやつじゃん
頭悪いから嘘を信じちゃうやつ
これだからパヨクの批判は全く当てにならん
はちまオジサンごめんなさいしなきゃね^^
人柱は嫌なので永劫触る事のないアプリ
>>5
天下りじゃないだろ
超中抜き、低予算、短納期で無茶ぶりした結果
日本の技術レベルが低すぎるんだ
削除でデマ確定
問題ないアプリを問題あるかのように認識させるのは罪に問われかねない
この警告文章の書き方は問題あるという書き方だろうに
何がどう危ないのか、説明してよ
無職のおっさんまだ反ワクやってんの?