なんとなくコロナワクチン接種証明アプリの通信解析をしてみたんだが、アプリがサーバ証明書確認せずに情報送信してるから、SSLインスペクションで送受信データが見えてしまうんだが・・・
マイナンバーカードのRawデータが丸見えです。 https://t.co/6Ot5owQ6mD

— どなるどだっく (@burasuzukun) Dec 20, 2021

これどうヤバいのか簡単に言うと、Wi-Fiを勝手に接続してしまう設定にしてると第三者にマイナンバー情報が抜かれる可能性がある。 twitter.com/burasuzukun/st…

— Toy (@mineral1216) Dec 20, 2021

うわあ
ジェイソンという得体の知れない言葉で書かれている！ twitter.com/burasuzukun/st…

— 🗡まるす🛡さん (@Marthtomo) Dec 20, 2021

🤔 twitter.com/burasuzukun/st…

— 春巻 (@harusukec2) Dec 20, 2021

これって野良Wi -Fiとかだったらみえるってことで合ってる？ twitter.com/burasuzukun/st…

— まぎらわしぃ＠公認乗っ取られ中 (@sx_i83443684) Dec 20, 2021

無料WiFiに繋げなきゃ良いって話らしいけど、無料WiFi使う人なんか普通にいるし
ITリテラシー低いのが悪いって意見もあるけど、国から出てるんだから普通はそんな人でも使える前提だと思うよ twitter.com/burasuzukun/st…

— なもり (@yamolist83) Dec 20, 2021

ちょっとよく分かんないんだけど、セキュリティ的にめっちゃヤバイんじゃないの？ twitter.com/burasuzukun/st…

— ふつうのタケノコ🍄無知は罪 (@takenoco_kinoko) Dec 20, 2021

開発時に証明書のバリデーションをオフにしてたのがそのままリリースされたとかかなぁ。 twitter.com/burasuzukun/st…

— 1月20日73.6kg (@haruo31) Dec 20, 2021

@digital_jpn
マイナンバーカードのRawデータが丸見えになるそうですが。。。
接種証明アプリ大丈夫ですか？ twitter.com/burasuzukun/st…

— トラスタくん♪ (@truckMKHN) Dec 20, 2021

証明書検証不備の脆弱性？連絡したのかな？ twitter.com/burasuzukun/st…

— 人生捨てるっす🍄@人間不信MAX (@stealthJPN3) Dec 20, 2021

んー、野郎Wi-Fiは使うなって感じかな。。 twitter.com/burasuzukun/st…

— かい@東京ドリ天流 (@TOKYOGIRLSLOVE0) Dec 20, 2021

サーバ証明書を検証していないことと、piningしていないことは違う。どっちなの？ 前者は脆弱性、後者は自由。自分で中身を見られるのは何の問題もない（ように内部プロトコルが設計されているべき）なのでpiningは必要でない。 twitter.com/burasuzukun/st…

— Hiromitsu Takagi (@HiromitsuTakagi) Dec 20, 2021

大丈夫なのか？？？ twitter.com/burasuzukun/st…

— ねやがわのととろ🐈 (@totoro_0150) Dec 20, 2021

これは条件反射で「ヤバイアプリだ！！」って騒ぐとバカがバレるやつ twitter.com/burasuzukun/st…

— 荒川リョウ (@fctokyo1016) Dec 20, 2021

相変わらず… twitter.com/burasuzukun/st…

— がる:|| (@galphonse) Dec 20, 2021

ワクチンパスポート(爆笑) twitter.com/burasuzukun/st…

— 八汰烏 (@yakoni753) Dec 20, 2021

あれからちゃんと調べたけど、自らルートCAを開示しなかったら通信の内容は見えなかったから、普通に利用する分には問題なさそうに見えた。 twitter.com/burasuzukun/st…

— ブバリア (@bouvardia_128) Dec 20, 2021

この分野に詳しい人にマイナンバーカードのデータが丸見えになるのはマズイですね。まだ必要な場面に遭遇しないのでセキュリティ強化が入るまではアプリ登録は保留しておきます。 twitter.com/burasuzukun/st…

— ルマイア (@Onlyweekender) Dec 20, 2021

これ普通にCVE発行されるレベルの問題では… twitter.com/burasuzukun/st…

— オーキど (@aqmr_kino) Dec 20, 2021

本当だとしたら嫌すぎる。。 twitter.com/burasuzukun/st…

— へなちょこ (@henachoko1978) Dec 20, 2021

よく分からないけれど「まだ使わないほうがいい」事は確実。 twitter.com/burasuzukun/st…

— 昇運さん@オオサンショウウオ【超特大】 (@Get_RisingLuck) Dec 20, 2021

httpで通信してるならともかく、ユーザーが自分の意志でssl証明書入れてるんだからそれには従うべきだろう。野良wifiだと証明書入れれないから関係ないよ twitter.com/burasuzukun/st…

— フシハラ (@Fushihara) Dec 20, 2021

ピニングしてないだけでは… twitter.com/burasuzukun/st…

— DoCHI (@Do_CHI_xxx) Dec 20, 2021

さっき登録しようとしてマイカなくて後でやろうと思ってたとこ。
あぶねえ😇 twitter.com/burasuzukun/st…

— どぜん (@dozeen4) Dec 20, 2021

相変わらず杜撰 twitter.com/burasuzukun/st…

— やまもとReduce exposure! (@Yamamoto0509) Dec 20, 2021

@suskiper 脆弱性出てるから、気を付けて twitter.com/burasuzukun/st…

— がる:|| (@galphonse) Dec 20, 2021

どうせ不具合だらけやろ思ってすぐ登録せんかったけど良かった() twitter.com/burasuzukun/st…

— おすし (@ki5800dh2) Dec 20, 2021

これどうなんだ twitter.com/burasuzukun/st…

— 萃凜🎻まふゆとリンちゃん来てください (@Ser_C3H7NO3) Dec 20, 2021

野良wifiとか普段から長時間利用している人は入れない方がいいかもしれんね
どういう条件下か知らんけど、ある程度外部干渉されづらければそこまで脅威じゃないでしょ twitter.com/burasuzukun/st…

— あり助 (@arinko_tw) Dec 20, 2021

素人だけど素人の仕事ってわかる。 twitter.com/burasuzukun/st…

— uyat♪ (@uyat_) Dec 20, 2021

さすがにこれはミスリーディングなのでは。
SSLハイジャックできる時点で特殊環境。端的に言うと端末がすでにイジられてる状態。普通の人の携帯ではありえない。 twitter.com/burasuzukun/st…

— zeroyoung (@zeroyoung) Dec 20, 2021

こマ？
なお既に取得したため多分誰にも見つかってない twitter.com/burasuzukun/st…

— 🌱🌿☘️🍀 (@cm_ayf) Dec 20, 2021

マイナンバーカードを使いそうな所でフリーWiFi立てりゃ取り放題か twitter.com/burasuzukun/st…

— EFFY開発チーム (@effy_staffs) Dec 20, 2021

これが本当なら、個人情報漏れまくりなんだけと、、、😰
この方、セキュリティに詳しそうだし。
しばらく、接種証明アプリはインストールしない方がいいね😉
twitter.com/burasuzukun/st…

— mostovoi (@mostovoi_tzar) Dec 20, 2021

マイナンバーまだ作ってなくて良かった。。
作ってたらもう入力してたと思う。 twitter.com/burasuzukun/st…

— たなしん (@shingo_wrf) Dec 20, 2021

なるほどわからん。 twitter.com/burasuzukun/st…

— しげちー (@sige_chi) Dec 20, 2021

これはマスコミに誤報が出て技術的誤解がテレビで大々的に広まって何十年も消えないとかの、大ごとになりそうだな。 twitter.com/burasuzukun/st…

— Hiromitsu Takagi (@HiromitsuTakagi) Dec 20, 2021

またゴミを金かけて作ったのか twitter.com/burasuzukun/st…

— 寝不足のディグダ(桃の味) (@momosuke1127) Dec 20, 2021

ひーーー個人情報とは… twitter.com/burasuzukun/st…

— 井田奈穂/Naho Ida/選択的夫婦別姓・全国陳情アクション (@nana77rey1) Dec 20, 2021

これまじですか？… twitter.com/burasuzukun/st…

— ホロクラフト@🐦とゲーム大好き紳士 (@holo_claft) Dec 20, 2021

うけるwww twitter.com/burasuzukun/st…

— こけ先生＠ベット上から動かない人 (@kokechandayo) Dec 20, 2021

変なWi-Fiに接続しなければ良い話じゃないのかしら
アプリを使ったら情報ダダ漏れ！なんて話ではないよねこれ？ twitter.com/burasuzukun/st…

— momo消しゴム (@momokcgm) Dec 20, 2021

うーん　この twitter.com/burasuzukun/st…

— アイカ (@4Ship3) Dec 20, 2021

紙のワクパス取ったけど、アプリのが便利だよなぁと思いつつ様子見。 twitter.com/burasuzukun/st…

— Maya (@Maya_LDR) Dec 20, 2021

だからマイナンバーカードなんか作ったらアウト。 twitter.com/burasuzukun/st…

— Mrkm (@SIW_HIDE) Dec 20, 2021

丸見えなのね・・・(￣д￣)(笑) twitter.com/burasuzukun/st…

— Ｓ関 (@yousunblog94) Dec 20, 2021

やはり野良アクセスポイントには接続してはいけない twitter.com/burasuzukun/st…

— さとだい🌤️ (@ThisIsSuree) Dec 20, 2021

セキュリティが弱い公共Wifiでやるな、かな。
家のWifiだったら良いとも言いづらいけど。 twitter.com/burasuzukun/st…

— 空き箱 (@empty_akibako) Dec 20, 2021