公衆無線LANでは危険なiPhone/touchアプリを判断するテク
公衆無線LANで使うと危ないiPod touch(/iPhone)アプリ、が話題になっている。一部のアプリは、mixiなど会員制サイトへのログインを行う際の通信を平文で行っている。つまり、公衆無線LAN内で利用すると、会員制サイトのパスワード(など重要な情報)を盗まれる危険があるのだ。こうした危険アプリを、簡単に自分で判定するテクを紹介しよう。
iPhone/iPod touchには、mixiなどの会員制サイトを快適に利用することを目的としたアプリが多い。「高木浩光@自宅の日記 - 公衆無線LANで使うと危ないiPod touchアプリに注意」で問題にされているのは、こうしたアプリのログイン処理(など盗まれるわけにはいかない情報の送信)がきちんと安全に行われているかどうか、だ。今後も各種会員制サイト用のアプリは多数登場するはずだし、中には同様の危険性があるアプリもあるだろう。あるアプリ(のログイン処理)が安全かどうかの判定は、意外と手軽/簡単に行える。既に導入している人が多いであろう定番ツールProxomitronを使い、安全性を自分で手軽に判断する方法を紹介しよう。慣れてくれば数分以下で行える作業なので、「特定サービスを快適に利用できる」系のiPhoneアプリを導入する際に、「そういえば」程度の感覚で試せるはずだ。
まず、Proxomitronの「設定」「アクセス」で「次の範囲のIPアドレスからのアクセスを許可する」を選択し「0.0.0.0」から「255.255.255.255」を許可。PFWでの、いわゆるポート開放許可も行う。ルーター設定変更は不要(というか行うと危険なので行わないように)。
……Proxomitronの許可IP設定機能には問題がある模様で、設定を細かく行うと正常に動作しない(現在検証中)。ルーター環境であれば、意図的にルーターでのポート開放を行わない限り、「IPアドレスの許可レンジを広げる」という、そのこと自体が生む問題はないので、とりあえずこの設定で。
iPhone/touchのネットワーク設定で自分の無線LANの設定を開き、最下部「HTTPプロキシ」を「手動」に変更。「母艦のIPアドレス」「Proxomitronポート(デフォルトでは8080)」を指定。
Proxomitronメインウインドウで「ログウインドウ」を開く。「編集」「ポストされたデータの表示」にチェックを入れる。この状態でiPhone/touchのSafariから適当なページを開いてみよう。ページが無事に表示され、また、Proxomitronログに文字が流れれば正常だ。
ここまで準備が終わったら、Proxomitronログウインドウで「編集」「リセット」。当該iPhoneアプリを起動し、重要な情報の送信が行われるであろう処理(ログインなど)を行う。例えば「高木浩光@自宅の日記 - 公衆無線LANで使うと危ないiPod touchアプリに注意」で問題になっている「MixiDock」であれば、起動後の日記投稿処理だ。
ログウインドウが流れる。アプリ次第ではあるが、大した量ではないので、目でざーっと終えるはず。パスワードが平文で表示されていたら、つまり、「公衆無線LANで使うと危ないアプリ」だ。
元記事で「安全なアプリの例」として紹介されている「mixi(mixi純正アプリ/ただしツールとしての完成度がミニマム)」であれば、ログイン時の通信は上画像。パスワードが安全に送信されていることが分かる。
執筆:tokix (tokix.net)