IMEの通信解析で利用されたSSLの解析技術に関して
NHKなどで報道されている、パソコン用の日本語入力ソフトBaidu IME、 Android用の日本語入力ソフト Simejiの送信データを解析した件に関して詳細をご説明します。
検証解析環境
<SSLによる暗号化通信を解析できる環境>
解析の結果、日本語入力の文字列が、SSLで暗号化され送信されていることがわかりました。
Baidu IME , Simejiでは、全角入力の場合のみ情報が送信されています。
クラウド入力Offの場合でも入力文字列を送信していました。
パスワードなど半角入力のみの場合は送信されていません。クレジット番号や電話番号も変換しなければ送られません。
Counter SSL Proxyを使って得られた結果を見てみましょう。
<Baidu IMEの場合>
py= 変換確定文字列
uid= Windowsのコンピューターのセキュリティ識別子SIDです。
app= 使用しているアプリケーションのパス名です。 Chromeなどの場合ユーザ領域に保存されるため、Windowsのユーザ名が送られるケースもあります。
version= Biadu IMEのバージョン
<Simejiの場合>
Simejiの場合は、クラウド入力OFF、ログ情報を送信がOFFの場合でも送信されます。
py= 変換確定文字列
uid= UUID による個別端末識別子
mobile= 使用しているデバイス名
app= 使用しているアプリケーションのパッケージ名
version= Simejiのバージョン
機能を誤解されやすいクラウド入力に関しては、設定でOFFにできます。
例としてはこのようになります。
< Simejiのクラウド入力 >
Simejiに関しては、アプリのリスク評価をsecroidが自動で評価していますのでご参考までに。
Simeji(日本語入力キーボード) | Secroid
報道を受けてBaidu IME, Simejiの方も改善すると思います。利用されている方はもう遅いのでバージョンアップを待ち、改善されるまで使用は控えたほうが良いかもしれません。
Counter SSL Proxyや、
スマートデバイスアプリ解析ツールが、
導入されている企業ではこのような通信を容易に発見できます。まだ導入されていない方はぜひともご検討ください。
追記:
12月26日中に Baidu IMEはクラウド入力をONできないバージョンを配布。作成日時は 12/25 21:59 でした。Simejiを6.6.2にアップデートした場合は、クラウド入力、ログの出力がされないことを確認しました。Simejiは、クラウド入力、ログ機能をディフォルトOFFに、ログ機能はバグが治らなかったのか、ONにしても送信されなくなっていました。Simejiのコード署名時間は 12/26 21:12:08でした。Google Playでの公開時間は23:55ごろでした。
アップデートされていない場合は早急にアップデートしましょう。Secoirdの評価も不明な部分も少なくしました。Simeji(日本語入力キーボード) | Secroid こちらも合わせてご覧ください。
2013/12/26 コース:元祖こってり
「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。
