Hatena::ブログ(Diary)

ockeghem(徳丸浩)の日記 このページをアンテナに追加 RSSフィード

[PR]WAFの導入はHASHコンサルティング
 | 

2009-05-28 ソフトウェアアップデートでP-07AのJavaScriptが使えなくなった

i-mode2.0は前途多難 i-mode2.0は前途多難を含むブックマーク

既に発表されているように、NTTドコモの夏モデルからi-modeの仕様が大幅に拡張され、JavaScriptCookieRefererに対応するようになった。これら仕様変更はセキュリティの面からも影響が大きいため、私は夏モデルの中から、P-07Aを発売開始日(5月22日)に購入した。そして、リリースどおりJavaScriptCookieRefererが動作することを、実機にて確認した。

ところが、P-07Aと同日に発売開始されたN-06Aは、その日のうちに一時販売停止のお知らせが出る。

この度、弊社の携帯電話N-06A」において、iモード接続時の不具合が確認されましたので、販売を一時見合わせさせていただきます。

なお、本事象に伴い、本日発表いたしました「N-08A」の販売開始日につきましても、5月28日から延期となります。

N-06A」の販売再開及び「N-08A」の販売開始時期については、別途お知らせさせて頂きます。

お客様にはご迷惑をおかけすることとなり、大変申し訳ございません。深くお詫び申し上げます。

本事象の概要は以下のとおりです。

ご不明な点等がございましたら下記のお問合せ先までご連絡いただけますよう、併せてお願いいたします。

1. 事象の内容

iモードのサイト接続時に、サイト側との連携が正常に行われず、正しく動作しない場合がある。

2. 事象の原因

ソフトウェアの一部不具合 ※詳細は現在調査中

3.対象のお客様

docomo PRIME series N-06A」をご利用の全てのお客様

※5月22日(金)までの販売台数: 約1500台

http://www.nttdocomo.co.jp/info/notice/page/090522_01_m.html

この時点では、「P-07Aを選んでいてよかったなぁ」とのんびり思っていたら、P-07Aについても、同様の一時販売停止のお知らせが5月25日に公表された。

とはいえ、私が評価などに使用する分には特に問題なかったのでそのまま使い続けていたところ、昨日(5月27日)の昼ごろ、P-07Aの画面上にソフトウェアアップデートの画面が表示された。ここで、私はいったんアップデートを保留した。一度アップデートすると、元には戻せないからだ。

すると、今度は同日18:36に、以下のような「お知らせ」が来た。少し長いが全文引用する。

【重要】 ソフトウェアアップデート未実施の方へのiモード利用規制に関するお知らせ


平素は、ドコモの商品・サービスをご利用いただきまして誠にありがとうございます。

現在、「P-07A」につきまして、 ソフトウェアアップデート を提供させていただいておりますが、本ソフトウェアアップデートが未実施の場合、 iモードのサイト側と連携が正常に行われず、正しく動作しない場合があり、 お客様が意図しない動作を引き起こす可能性がございます。

つきましては、 ソフトウェアアップデート未実施の場合、 5月28日(木)16時以降にiモードサービスがご利用いただけなくなります ので、恐れ入りますが、 必ずソフトウェアアップデートを実施いただきますようお願い申し上げます。

お客様には多大なご迷惑をおかけしますことを深くお詫び申し上げます。
※既にソフトウェアアップデートを実施されたお客様につきましては、行き違いとなりましたことを、あわせてお詫びいたします。

なお、ご利用いただけなくなるiモードサービスは下記の通りです。

【ご利用いただけなくなる主なiモードサービス】
iモードメール送受信
・サイト閲覧
・iチャネル
iコンシェル
・電話帳お預かりサービス


ソフトウェア更新方法

待受中に「メニュー」⇒「設定/サービス」⇒「その他」⇒「ソフトウェア更新」を選択し、 画面の案内に従って操作を行ってください。
ソフトウェア更新を行う場合のパケット通信料は無料です。


ソフトウェア更新時間
約7分


更新時の注意事項
ソフトウェア更新中は絶対に電池パックをはずさないでください。
・電池をフル充電しておいてください。
ソフトウェア更新中は画面全体が暗くなります。故障ではありませんのでそのままお待ちください。 なお、更新完了後、自動的に再起動します。
ソフトウェア更新後でも、iモードサイト側の対応状況によってはアクセスできない場合がございます。


その他のご注意はコチラをご確認ください。


◇上記に関するお問合せ
0120-199-090(無料)
(24時間受付)


このメールは(株)NTTドコモよりパケット通信料無料で配信しています。

ごらんのように、この「お知らせ」は緊迫した雰囲気のものだ。18:36にお知らせが出て、翌日16:00までに更新しなければ、iモードにつなげなくなるというのだ。しかし、私はここでもアップデートを保留し、実際にiモードが利用できなくなるところを見てみようと思った。

しかし、私が甘かった。P-07Aの電源をONにしたまま寝てしまったところ、夜のうちにアップデートが走ったようだ。画面上のアップデートアイコンが消えていたので、それと分かった。

その結果、UserAgentは、以下のように変更された

DoCoMo/2.0 P07A3(c500;TB;W24H15)

従来は、P07Aだったのだ。

カカクコムのクチコミ掲示板によると、一部のコンテンツが利用できなくなった。これはUserAgentが変更された影響ではないか。しかし、サイト側がまもなく対応するだろう。私はもっと大きな問題に気づいた。

それは、

JavaScriptが使えなくなった

のである。これは困った。私がP-07Aを購入した目的が達成できなくなった。なお、「iモードブラウザ設定確認」では、Script動作設定は「有効」のままだ。

f:id:ockeghem:20090528110535j:image

一方、他の仕様を確認したところ、CookieRefererは動作しているようだ。

一連の経緯から分かるように、これはかなりバタバタした対応である。P-07AでJavaScriptが使用できることは正式な仕様であり、私はその仕様を確認してP-07Aを購入したのだ。すなわち、私のP-07Aは、約束された仕様を満たさない欠陥商品になってしまった。このようにJavaScript機能を急遽殺した理由はなんだろうか。

やはりセキュリティ上の理由と考えるのが自然だろう。それも、元々ドコモ上にあるシステムやコンテンツに重大な影響が発生する懸念があったのではないか。

JavaScriptエンジンにバグがあったからという理由は考えにくい。まだi-modeコンテンツにはJavaScriptに対応したものがほとんどないと考えられるから、「当面JavaScriptを使ったコンテンツは見合わせろ」と言う通知で済む話だ。鳴り物入りで発表した機能を突然強制的に使えなくするのは、もっと緊急性の高い理由があったのだろう。

私が思いついたシナリオはこうだ。iモードの基盤システムに、JavaScriptが影響するセキュリティ上の問題があったのではないか。旧来のiモードのシステムはJavaScriptをつかっていないはずだから、JavaScriptの影響とは、元システムに潜在的なクロスサイト・スクリプティング脆弱性があり、i-mode2.0の登場により、潜在的リスクが顕在化したのではないか。

上記は推測に推測を重ねたものであって、根拠はないのだが、そうとでも考えないと一連の騒動の説明がつかないと私は感じたのだ。

ともあれ、私はi-mode2.0自体には非常に期待している。一連の騒動を一刻も早く収束させていただき、本来のi-mode2.0が安心して使えるようになることを一ユーザとして希望する。

追記(5/28 12:30)

はせがわようすけ氏からwassr.jpにて指摘をいただいた。

「JaaScriptエンジンにバグがあったからという理由は考えにくい。」→JavaScriptエンジンにBofがあるのでという可能性なら考えられますね。

http://wassr.jp/user/hasegawa/statuses/B9mpFv90PU

確かにその通りで、ご指摘ありがとうございます。

言われてみればこれが一番ありそうなシナリオなのに私が思いつかなかったのは、「端末のバッファオーバーフローでそこまでやるか?」という潜在意識が働いたのだろう。現実に、PCの世界では、どんなに危険な脆弱性であっても、パッチ適用はユーザの自己責任ということになっていて、パッチを適用しないからWindowsが使えなくなるなんてことは通常ない。

だが、(日本の)携帯電話の世界は、善し悪しは別として、完全に携帯電話事業者が丸抱えの垂直統合モデルだから、事業者の責任として「アップデートしない端末はユーザ保護の観点からつながせない」というのはあり得る対応だと思う。

とはいえ、元々書いたようにこのエントリの後半は単なる推測なので、前半の「事実」の部分を読者と共有しつつ、ドコモ社からの続報を待ちたい。そして、早くJavaScriptを使えるように戻していただきたい。

追記(8/5 10:40)

本エントリに関連して、携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性を書いたので、併せてお読みいただきたい。

追記(2009/10/26)

ようやく10月末からiモードブラウザ2.0のJavaScript機能が再公開されると発表がありました。これに合わせて、KCCSにて11月12日(木曜)、11月19日(木曜)、12月10日(木曜)の3回にわたり、ケータイWebセキュリティセミナーを実施することになりましたので、興味のある方は、こちらのリンクから内容確認の上お申し込みください。

ramsyramsy 2009/06/15 17:00 JavaScript Engineがhttpアクセスに使うraw APIがhtmlやimageと違うもので、課金用のパケットカウンタ外になってしまっている可能性はありませんかね?

 | 
Google