SONYが昔からSUICAの履歴や残高見れるアプリは出してたね https://www.sony.co.jp/Products/felica/consumer/app/
( 情報通信技術関係のヒトたちは本質的にアナーキスト。愉快犯の血も混じってるんじゃないかと思う。これがFeliCaの安全性向上に寄与すればいいのですけども )
残高や利用履歴を読み取るツール自体は既に有る(一例https://www.ithink-ltd.com/?page_id=188)ので詳細見ないと何とも。
共同通信は騙せたけど、世間はそこまで愚かじゃなかったことが悔しかった感じだなあ。ソフトの質も微妙。セキュリティ業界はこの手の愚か者を早くなんとかしないと、法規制という話になるぞ。
“法的な問題などもないと認識している” だから倫理観の問題な気がするんだけどね。法律を破らなければ何しても良いみたいな
各個人の暗号化領域のデータを作者のリモートサーバーに送ってる点からして怪しい香りがする。サーバーは情報を収集してません的な法的説明も無いし…
今もあるのか知らないけど、ソニーのノートPCには残高や利用履歴を参照するソフトがインストールされてたよね
ここは以前もセキュリティ企業とは思えない愚かな行動してたから信用できない。読み取ってるの公開情報だけでは?
15年位前に趣味で暗号領域以外の部分を読み取るJavaプログラムを作ったことあるけど、暗号領域のアクセスは契約して有償のSDKを購入する必要があった記憶。 リバースエンジニアリング自体は適法だけどどうなんだろう?
残高や利用履歴は暗号化されていない領域にあるので、鍵を使った認証不要でも読めますが、これはサーバ側で鍵を使ってコマンドを生成しており、その方式が何かに抵触しないのかという話ですよね? 求む有識者
うーむ
SuicaのSDKはコード公開禁止など結構制約があった記憶が。それで囲い込み系だなぁと判断して開発しなかったんだが。SDKナシでやる分には問題ない訳だしなぁ。
「問題ないって言うなら公開してもいいよな」ってことだろうか。
クラックかと思うけど違うのか?
“認証サーバー” 何で認証が必要なんだ?
耐タンパー性は突破できてない様子。カード内チップの公開情報を表示してるだけでプライバシーリスクはあってもセキュリティ的な緊急度は高くなさそう。安全な行為を危険に見せかけて社会的動揺を引き出す意味で悪質
改札通過や物販利用の時刻が取り出せるならほしいんだけど
TagInfo( https://play.google.com/store/apps/details?id=com.nxp.taginfolite )でFullScanした時に"Protected"な領域は、この「暗号領域の情報が読み取れるSuicaビューア」スクショで見ると何処なんだろ?よく分からない (追: 時刻情報そも入ってない
未公開の脆弱性情報を臭いものに蓋をしたまま放置する日系企業の体質もある。そして現代はアテンションを集めないと何もかも無視される時代だから。
うーん、好意的に解釈できなくは無いけれども、なんとなく目立ちたい人なのかなという先入観が出来てしまってるな。何が目的なんだろう
パソリでこういう事出来たような…
SuicaのICチップが電子計算機の定義にあてはまるなら、不正指令電磁的記録作成等にあたりそうだけれども。 https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/legal/01/
Suicaの脆弱性を指摘したセキュリティ企業トップが「暗号領域の情報が読み取れるSuicaビューア」公開で物議 目的を聞いた
SONYが昔からSUICAの履歴や残高見れるアプリは出してたね https://www.sony.co.jp/Products/felica/consumer/app/
( 情報通信技術関係のヒトたちは本質的にアナーキスト。愉快犯の血も混じってるんじゃないかと思う。これがFeliCaの安全性向上に寄与すればいいのですけども )
残高や利用履歴を読み取るツール自体は既に有る(一例https://www.ithink-ltd.com/?page_id=188)ので詳細見ないと何とも。
共同通信は騙せたけど、世間はそこまで愚かじゃなかったことが悔しかった感じだなあ。ソフトの質も微妙。セキュリティ業界はこの手の愚か者を早くなんとかしないと、法規制という話になるぞ。
“法的な問題などもないと認識している” だから倫理観の問題な気がするんだけどね。法律を破らなければ何しても良いみたいな
各個人の暗号化領域のデータを作者のリモートサーバーに送ってる点からして怪しい香りがする。サーバーは情報を収集してません的な法的説明も無いし…
今もあるのか知らないけど、ソニーのノートPCには残高や利用履歴を参照するソフトがインストールされてたよね
ここは以前もセキュリティ企業とは思えない愚かな行動してたから信用できない。読み取ってるの公開情報だけでは?
15年位前に趣味で暗号領域以外の部分を読み取るJavaプログラムを作ったことあるけど、暗号領域のアクセスは契約して有償のSDKを購入する必要があった記憶。 リバースエンジニアリング自体は適法だけどどうなんだろう?
残高や利用履歴は暗号化されていない領域にあるので、鍵を使った認証不要でも読めますが、これはサーバ側で鍵を使ってコマンドを生成しており、その方式が何かに抵触しないのかという話ですよね? 求む有識者
うーむ
SuicaのSDKはコード公開禁止など結構制約があった記憶が。それで囲い込み系だなぁと判断して開発しなかったんだが。SDKナシでやる分には問題ない訳だしなぁ。
「問題ないって言うなら公開してもいいよな」ってことだろうか。
クラックかと思うけど違うのか?
“認証サーバー” 何で認証が必要なんだ?
耐タンパー性は突破できてない様子。カード内チップの公開情報を表示してるだけでプライバシーリスクはあってもセキュリティ的な緊急度は高くなさそう。安全な行為を危険に見せかけて社会的動揺を引き出す意味で悪質
改札通過や物販利用の時刻が取り出せるならほしいんだけど
TagInfo( https://play.google.com/store/apps/details?id=com.nxp.taginfolite )でFullScanした時に"Protected"な領域は、この「暗号領域の情報が読み取れるSuicaビューア」スクショで見ると何処なんだろ?よく分からない (追: 時刻情報そも入ってない
未公開の脆弱性情報を臭いものに蓋をしたまま放置する日系企業の体質もある。そして現代はアテンションを集めないと何もかも無視される時代だから。
うーん、好意的に解釈できなくは無いけれども、なんとなく目立ちたい人なのかなという先入観が出来てしまってるな。何が目的なんだろう
パソリでこういう事出来たような…
SuicaのICチップが電子計算機の定義にあてはまるなら、不正指令電磁的記録作成等にあたりそうだけれども。 https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/legal/01/