なんとなくコロナワクチン接種証明アプリの通信解析をしてみたんだが、アプリがサーバ証明書確認せずに情報送信してるから、SSLインスペクションで送受信データが見えてしまうんだが・・・
マイナンバーカードのRawデータが丸見えです。 https://t.co/6Ot5owQ6mD

— どなるどだっく (@burasuzukun) Dec 20, 2021

これどうヤバいのか簡単に言うと、Wi-Fiを勝手に接続してしまう設定にしてると第三者にマイナンバー情報が抜かれる可能性がある。 twitter.com/burasuzukun/st…

— Toy (@mineral1216) Dec 20, 2021

うわあ
ジェイソンという得体の知れない言葉で書かれている！ twitter.com/burasuzukun/st…

— 🗡まるす🛡さん (@Marthtomo) Dec 20, 2021

🤔 twitter.com/burasuzukun/st…

— 春巻 (@harusukec2) Dec 20, 2021

これって野良Wi -Fiとかだったらみえるってことで合ってる？ twitter.com/burasuzukun/st…

— まぎらわしぃ＠公認乗っ取られ中 (@sx_i83443684) Dec 20, 2021

無料WiFiに繋げなきゃ良いって話らしいけど、無料WiFi使う人なんか普通にいるし
ITリテラシー低いのが悪いって意見もあるけど、国から出てるんだから普通はそんな人でも使える前提だと思うよ twitter.com/burasuzukun/st…

— なもり (@yamolist83) Dec 20, 2021

ちょっとよく分かんないんだけど、セキュリティ的にめっちゃヤバイんじゃないの？ twitter.com/burasuzukun/st…

— ふつうのタケノコ🍄無知は罪 (@takenoco_kinoko) Dec 20, 2021

開発時に証明書のバリデーションをオフにしてたのがそのままリリースされたとかかなぁ。 twitter.com/burasuzukun/st…

— 1月20日73.6kg (@haruo31) Dec 20, 2021

@digital_jpn
マイナンバーカードのRawデータが丸見えになるそうですが。。。
接種証明アプリ大丈夫ですか？ twitter.com/burasuzukun/st…

— トラスタくん♪ (@truckMKHN) Dec 20, 2021

証明書検証不備の脆弱性？連絡したのかな？ twitter.com/burasuzukun/st…

— 人生捨てるっす🍄@人間不信MAX (@stealthJPN3) Dec 20, 2021

んー、野郎Wi-Fiは使うなって感じかな。。 twitter.com/burasuzukun/st…

— かい@東京ドリ天流 (@TOKYOGIRLSLOVE0) Dec 20, 2021

サーバ証明書を検証していないことと、piningしていないことは違う。どっちなの？ 前者は脆弱性、後者は自由。自分で中身を見られるのは何の問題もない（ように内部プロトコルが設計されているべき）なのでpiningは必要でない。 twitter.com/burasuzukun/st…

— Hiromitsu Takagi (@HiromitsuTakagi) Dec 20, 2021

大丈夫なのか？？？ twitter.com/burasuzukun/st…

— ねやがわのととろ🐈 (@totoro_0150) Dec 20, 2021

これは条件反射で「ヤバイアプリだ！！」って騒ぐとバカがバレるやつ twitter.com/burasuzukun/st…

— 荒川リョウ (@fctokyo1016) Dec 20, 2021

相変わらず… twitter.com/burasuzukun/st…

— がる:|| (@galphonse) Dec 20, 2021

ワクチンパスポート(爆笑) twitter.com/burasuzukun/st…

— 八汰烏 (@yakoni753) Dec 20, 2021

あれからちゃんと調べたけど、自らルートCAを開示しなかったら通信の内容は見えなかったから、普通に利用する分には問題なさそうに見えた。 twitter.com/burasuzukun/st…

— ブバリア (@bouvardia_128) Dec 20, 2021

この分野に詳しい人にマイナンバーカードのデータが丸見えになるのはマズイですね。まだ必要な場面に遭遇しないのでセキュリティ強化が入るまではアプリ登録は保留しておきます。 twitter.com/burasuzukun/st…

— ルマイア (@Onlyweekender) Dec 20, 2021

これ普通にCVE発行されるレベルの問題では… twitter.com/burasuzukun/st…

— オーキど (@aqmr_kino) Dec 20, 2021

本当だとしたら嫌すぎる。。 twitter.com/burasuzukun/st…

— へなちょこ (@henachoko1978) Dec 20, 2021

よく分からないけれど「まだ使わないほうがいい」事は確実。 twitter.com/burasuzukun/st…

— 昇運さん@オオサンショウウオ【超特大】 (@Get_RisingLuck) Dec 20, 2021

httpで通信してるならともかく、ユーザーが自分の意志でssl証明書入れてるんだからそれには従うべきだろう。野良wifiだと証明書入れれないから関係ないよ twitter.com/burasuzukun/st…

— フシハラ (@Fushihara) Dec 20, 2021

ピニングしてないだけでは… twitter.com/burasuzukun/st…

— DoCHI (@Do_CHI_xxx) Dec 20, 2021

さっき登録しようとしてマイカなくて後でやろうと思ってたとこ。
あぶねえ😇 twitter.com/burasuzukun/st…

— どぜん (@dozeen4) Dec 20, 2021

相変わらず杜撰 twitter.com/burasuzukun/st…

— やまもとReduce exposure! (@Yamamoto0509) Dec 20, 2021

@suskiper 脆弱性出てるから、気を付けて twitter.com/burasuzukun/st…

— がる:|| (@galphonse) Dec 20, 2021

どうせ不具合だらけやろ思ってすぐ登録せんかったけど良かった() twitter.com/burasuzukun/st…

— おすし (@ki5800dh2) Dec 20, 2021