GNU social JP
  • FAQ
  • Login
GNU social JPは日本のGNU socialサーバーです。
Usage/ToS/admin/test/Pleroma FE

  • Public

    • Public
    • Network
    • Groups
    • Featured
    • Popular
    • People

Conversation

Notices

  1. Embed this notice
    zunda (zundan@mastodon.zunda.ninja)'s status on Friday, 27-Sep-2024 16:17:40 JST zunda zunda
    • かき@GNUsocialJP

    MITM成り立ちそうね…

    In conversation about 2 months ago from mastodon.zunda.ninja permalink
    • Embed this notice
      zunda (zundan@mastodon.zunda.ninja)'s status on Friday, 27-Sep-2024 23:04:21 JST zunda zunda
      in reply to
      • 斎藤ただし
      • かき@GNUsocialJP

      @tadd 僕の勘違いだと良いのですが、

      犯人1: ATMに出向いてQRコードを表示させ、その内容を犯人2に伝える
      犯人2: 被害者の自宅などに出向いて、受け取ったQRコードを表示し、被害者に銀行アプリを操作させる
      被害者: 銀行アプリで払い戻し操作をして、犯人2が提示したQRコードを銀行アプリに読ませる
      犯人1: 手元のATMに出てきた現金を受け取る

      といった攻撃が成り立ってしまいそうな気がします。キャッシュカードやICカートならATMが物理的な存在を確かめられるのに、QRコードはコピーできちゃうので、銀行アプリがATMの近くにあることの確認にならなさそう。

      In conversation about 2 months ago permalink
    • Embed this notice
      斎藤ただし (tadd@best-friends.chat)'s status on Friday, 27-Sep-2024 23:04:22 JST 斎藤ただし 斎藤ただし
      in reply to

      @zundan 考えてて気付いたのですが、赤の他人が出したQRコードを背中越しに盗撮し、その人より早くスキャンして操作を進めれば、自分の預金残高を他人に渡すことはできる気がしてきました……笑

      In conversation about 2 months ago permalink
    • Embed this notice
      斎藤ただし (tadd@best-friends.chat)'s status on Friday, 27-Sep-2024 23:04:23 JST 斎藤ただし 斎藤ただし
      in reply to

      @zundan 自分も別のとこで何年も便利に使ってますが、QRコードを(当然のごとく)普通のリーダーで読み込んだらろくに情報が入ってなくて、意外だったのを思い出しました。
      要は記事の通りで、そのトランザクションに限る・公に漏れるべきでない情報はアプリ内に閉じる設計になっているようです。なのでMITMは難しい気がしました

      In conversation about 2 months ago permalink
    • Embed this notice
      zunda (zundan@mastodon.zunda.ninja)'s status on Friday, 27-Sep-2024 23:39:55 JST zunda zunda
      in reply to
      • 斎藤ただし
      • かき@GNUsocialJP

      @tadd はい、被害者を騙してアプリを操作させる演技力が必要です。技術的に、犯人1-2が中間者になれる余地が残ってしまっているように見えてます。

      In conversation about 2 months ago permalink
    • Embed this notice
      斎藤ただし (tadd@best-friends.chat)'s status on Friday, 27-Sep-2024 23:39:56 JST 斎藤ただし 斎藤ただし
      in reply to

      @zundan 「銀行アプリがATMの近くにあることの確認にならない」はそう思います、自分もその認識です。
      ただずんださんのシナリオだと、どこにもMiddleを取った要素が無い気がします。銀行とユーザーとの(秘密の)やり取りの間に忍び込んではいないですよね。QRコードの中身はユーザーに依存しないし、冒頭の確認はしていないはず、です

      In conversation about 2 months ago permalink
    • Embed this notice
      斎藤ただし (tadd@best-friends.chat)'s status on Friday, 27-Sep-2024 23:39:56 JST 斎藤ただし 斎藤ただし
      in reply to

      @zundan なので「遠隔で引き出すことは可能」と自分も思うのですが、ユーザーが操作する画面に「ATMから引き出す」と書いてあるので、そこを誤認させるという前提が必要ですね。

      In conversation about 2 months ago permalink
    • Embed this notice
      zunda (zundan@mastodon.zunda.ninja)'s status on Saturday, 28-Sep-2024 03:03:24 JST zunda zunda
      in reply to
      • 斎藤ただし
      • かき@GNUsocialJP

      @tadd ですです!このご時世に振り込め詐欺に脆弱な仕組みを作るのかなあというのが最初の疑問でした。

      表示されるQRコード、変化しないものだったり、時刻から予想できるものだったりしたら、犯人1は現金が排出されるまではATMに居る必要もなさそうです。

      犯人がQRコードを中継するのは、銀行アプリと銀行サーバの間のネットワークではないので、MITMと書くのは間違えてるのかも。すみません〜

      In conversation about 2 months ago permalink
    • Embed this notice
      斎藤ただし (tadd@best-friends.chat)'s status on Saturday, 28-Sep-2024 03:03:25 JST 斎藤ただし 斎藤ただし
      in reply to

      @zundan あー。いろいろ考えてはいたのですが、自分がMITMの定義を分かってないのかもしれませんね。出てくるQRコードが銀行トップ画面URLでもMiddleなのかなー、とか悩んでました。
      あとどっちかというとこのシナリオは、振り込め詐欺に近い気がしました。正規のサイト・操作を誤認させるあたりが似てそうです

      In conversation about 2 months ago permalink

Feeds

  • Activity Streams
  • RSS 2.0
  • Atom
  • Help
  • About
  • FAQ
  • TOS
  • Privacy
  • Source
  • Version
  • Contact

GNU social JP is a social network, courtesy of GNU social JP管理人. It runs on GNU social, version 2.0.2-dev, available under the GNU Affero General Public License.

Creative Commons Attribution 3.0 All GNU social JP content and data are available under the Creative Commons Attribution 3.0 license.