デジタル庁による 『ワクチン接種証明アプリ』が 本日リリース → 早速指摘されてしまう…

どなるどだっくさんのツイート

なんとなくコロナワクチン接種証明アプリの通信解析をしてみたんだが、アプリがサーバ証明書確認せずに情報送信してるから、SSLインスペクションで送受信データが見えてしまうんだが・・・

マイナンバーカードのRawデータが丸見えです。

関連ツイート

関連ニュース

デジタル庁


デジタル庁は、日本の行政機関のひとつ。2021年9月1日に設置された。
設立: 2021年9月1日
設置: 2021年(令和3年)9月1日
出典:Wikipedia

ネット上のコメント

証明書のpiningしてない感じですね。共有しておきます。

オレオレroot証明書を食わないソフトって、今時のセキュリティソフトだと使い物にならないわけで。仕方ないと思うんだけど

検証環境がよくわからないですね SSLインスペクションをしてるんだからそこでデータが見れるのはそうでしょう SSLインスペクションしている装置のサーバ証明書がスマホの証明書ストアにないのにデータを送信してしまうという事でしょうか?

それは大変だ。利用ちょっとやめとくわ

そういうのはまずIPAに報告してから、3~6か月は待つんやで...

ワイは技術的なことは判断できないが、問題無い派のツイートの中身VS反射神経でやばいと言ってるツイートの中身の無さ+仮に本当にやばいとしてもTwitterに公開する倫理観 という構図で捉えたら前者優勢か?

これは流石にミスリードというか不安を煽ってるだけよような…。

\\SNSで記事をシェア//

X(旧Twitter)でシェアニュースを