# CVE-2018-0691 プラスメッセージにおける証明書検証不備について - https://jvn.jp/jp/JVN37288228/ - 平日の業務時間内に見つけた問題である関係で(自分ルールで)所属を入れていますが、他社サービスに対する調査や報告は業務とは一切関係のない個人の活動として行っています。 - 文責はmala個人にあります。お問い合わせなどありましたら個人宛にどうぞ。TwitterのDMや任意の文字列 @ma.la ## 概要 2018-06-21 に脆弱性の報告を行い 2018-06-27 に修正版が公開されたプラスメッセージについて、2018-09-27 に情報開示が行われているので、経緯について書きます。 ## タイムライン - 2018-06-21 11:44 プラスメッセージのiOS版が公開されたと聞いてインストールする - 2018-06-21 12:54 プラスメッセージを利用開始、検証開始する - 2018-06-21 13:01 証明書検証不備を見つける - 2018-06-21 13:23 Softbank CSIRT 宛に報告 (いくつかのHTTPSの通信が少なくとも盗聴可能、電話番号が漏洩する) - 2018-06-21 13:51 Softbank CSIRT から返信あり - 2018-06-21 14:13 DOCOMO-CSIRT, KDDI-CSIRT にも報告 - 2018-06-21 19:59 DOCOMO-CSIRT から返信あり - 2018-06-21 20:09 KDDI-CSIRT から返信あり - 2018-06-24 02:22 mala → IPAに届出 - 2018-06-24 02:57 mala → Softbank CSIRT に SIP over TLSを利用した通信全般の盗聴が可能であることを報告 (plusmessage_vuln.txt を添付) - 2018-06-26 13:58 IPAより「いただいた添付ファイルの中に、届出内容や再現手順に記載のない「original_msg.eml」というファイルがございました。本問題に関係のないファイルであると認識しておりますがいかがでしょうか。」との連絡を受ける - 2018-06-26 15:05 IPAに各社CSIRTに送ったオリジナルの報告内容である旨を説明し original_msg.eml の拡張子をtxtにして送る - 2018-06-27 iOS/Android共に修正版がリリースされる - 2018-06-27 16:29 IPAより「届出内容を確認し、脆弱性関連情報として受理いたしました」と連絡を受ける - 2018-07-03 各社から 6月27日付けで修正版がリリースされたとの連絡を受ける - 2018-07-11 11:55 IPAより、2018-07-10を起算日としてJPCERT/CC から製品開発者へ連絡を開始したとの連絡を受ける - 2018-09-27 15:55 IPAより、JVNで脆弱性情報が公開されたとの連絡を受ける ## IPAへの連絡について 自分が依頼したのは脆弱性情報の公表にあたっての調整であり、開発元に対する連絡は直接行っています。 **IPAへの報告をきっかけにして修正されたのではありません。** ## 調査のきっかけ プラスメッセージに関する報道の中に "「連絡先をサーバーにアップロードしない」などの安心感を訴求するNTTドコモ スマートライフ推進部 コミュニケーションサービス担当部長の藤間良樹氏" というものがあった。 - https://japanese.engadget.com/2018/04/10/line-3-5-9/ 果たして、電話番号(あるいは大して意味がないが電話番号のハッシュ値など)をサーバーにアップロードすることなしに、プラスメッセージを利用しているかどうかの判別が可能なのか、気になったため、どのような通信を行っているのかを調査しようと思った。 調査した結果の結論としては、プラスメッセージを利用しているかどうかの判別は、サーバーに対して連絡先の電話番号を送信することで行っていた。 元の発言は "連絡先のデータをサーバに保存することはない" であったようだ。 - https://japan.cnet.com/article/35117517/ ## 影響範囲と再現手順について 別途記載。これは証明書検証不備を検証するための一般的な方法であり、特定のソフトウェアに対する攻撃やサービスへの妨害を意図したドキュメントではありません。 - mitmproxy https://mitmproxy.org/ - sslsplit https://github.com/droe/sslsplit といったオープンソースで公開されているツールを使って検証が可能。IDとして電話番号を利用しているため、盗聴によって電話番号が漏洩します。 利用者本人の情報だけではなく、プラスメッセージの利用可否を確認するためにサーバーと通信を行うため、連絡先に登録されている電話番号も盗聴される恐れがあります。 ## Android版について - インストール可能な端末が手元になかったので、報告時点での検証は行っていません。 - 各社からの返信及び、Google Playでのリリースノートから、同様に影響を受けたことを把握 ## 謝辞 修正から公表まで時間はかかりましたが、脆弱性情報が開示されたことは、多くの社会的責任を伴う企業としての規範を示すものであり、大変喜ばしいことです。 複数のベンダーが関わっているため情報開示にあたっては、多くの苦労があったものと思慮いたします。関係者各位に感謝いたします。 特に最短3分で返信をくれるSoftbank CSIRTには最大限の敬意を表します。