アカウント名:
パスワード:
旧方式は FeliCa の IDm をチェックしているだけなので脆弱でした。
IDm を自由にリードライトできるカードは中華通販やAmazonマーケットプレイスで普通に売買されていますし、読み書きはスマホでできます。QRコードだってコピーできるのでは? と思うかもしれませんが、IDm は非接触でボトムスの外側からスキミングできてしまうし、ロッカーに預ける前の段階でスキミングしてストーキングすればロッカーの荷物を簡単に盗めてしまいます。FeliCa がカーシェアのカギになるようなサービスも普通にありますが、同様に脆弱です。
脆弱性が解消されたという点で、改善です。
利便性についても、QRコードはスマホのカメラにとって同伴者などに送信できるので、利便性も無くしたときのバックアップ体制も高まっているといえると思います。ただし、QRコードの写真で第三者が開けられることから、違法薬物の売買など犯罪への悪用は増えるかもしれません。
>旧方式は FeliCa の IDm をチェックしているだけだってさ [mobilesuica.com]※全部が全部同じ仕様のロッカーとは言えんが、最低JR東日本のロッカーはこれだね
Suica IDの方はセキュアエレメントだから詐称できなくて、安心して使えるね。
脆弱なのは、小田急新宿駅とかにある ↓ のような IDm チェックしているタイプ。https://www.shibutani.co.jp/special/baggageport.html [shibutani.co.jp]> FeliCaとMIFAREの両方に対応
IDiを読めたらOK程度の雑な実装の可能性もありそうだし、要検証かなぁ。決済を同時に処理するならセキュアエレメントも動くだろうけど。
普通のスマホで読み取る場合には、FeliCaはかなり近づけないと読み取れませんが、電磁誘導のパワーを上げれば結構離れていても読み書きできます。パスケース・ボトムスのポケットの外側からでも普通に読み書きできます。ただし、電波法違反に接触する恐れがあります。
AT搭乗用パイロットスーツにポケットぐらいあるんじゃないの
大昔「ズボン」昔「ボトムス」今「パンツ」
です
今時「ボトムス」なんて古臭い言葉を使うから茶化されちゃうんですねもし、会議室で「ボトムス」なんて言葉を使う人が居たら、笑ってお茶噴いちゃうかもしれないので大迷惑「パンツ」というときには「パ」にアクセントを付けると下着のパンツの意味になってしまうので、平板型のアクセントで発音しましょう
いやいやトラウザーズでしょ
「ボトムス」は「下半身の衣類」であってズボン(パンツ)だけの呼称じゃないから、普通にファッション用語としても使われてるだろ。#「トップス」と組み合わせる用語は何だと思ってるんだろうか?
トップギアでジェレミーがエレベーター内で女子アナのケツを見てセクハラしてた時、ナイスボトムと言ってたので、ただのお尻の意味も。
そこまで真面目な話かな…
> ただし、QRコードの写真で第三者が開けられることから、違法薬物の売買など犯罪への悪用は増えるかもしれません。オレオレ詐欺で銀行口座を使わなくなるかも
なるほど。決済手段が増えたから不便になったわけじゃないのね。セキュリティ強化で不便になったと。まあ、紙ぐらいいいやん、と思うけどね。
IDm は非接触でボトムスの外側からスキミングできてしまう
これどういう意味?近寄ってカバンの下にリーダー当てるってこと?それよりは離れた位置からQRコードを撮る方が簡単だと思うんだが間違ってる?
言いたいことはわかるんだけど、それはパスコードを必須にすれば防げるのでは……
そしらたら、また不便になったって怒るじゃん。
IDmは確かに読み取りできるけど、"IDmを"書き込むAPIなんて公開されていたっけ?
カードがポーリングに対してIDmを応答する通信は暗号化すらされてないので、簡単に任意のIDmに偽装できるhttp://www.atelier-nodoka.net/2012/05/arduino-rcs620s-tginittarget/ [atelier-nodoka.net]
もっと具体的にやり方書いちゃうと
FeliCaを偽装してみました その2https://blogs.itmedia.co.jp/tamaki/2009/11/felica2-7b48.html [itmedia.co.jp]
> 偽装アプリに偽装したいIDmやEdyNo、金額を入力すると、自由自在にカード偽装することができます。携帯電話にインプリしているので、持ち運びも自由です。
ちなみに決済にはセキュアエレメントが使われているので偽装したデータで商品を買う事はできません
普通のコインロッカーのカギと同じぐらいにはセキュアじゃね
道具準備すればスキャン部に盗聴スキャナ貼ってID盗聴、全部開け放題にできる。ピッキングの腕を十分に上げるよりは楽だし、装置の仕掛け役や開け役にスキルが要らないので雑に人員用意できる。ピッキングだとスキル持ち本人がアクセスするので監視カメラの死角使っても通行者の相関で顔が割れる。道具も基礎的な組み込み技術を押さえてたら行けそうな気がするし……
あとIDmはノーセキュリティなので一欠片もセキュアな要素はないよ。
物理鍵と違って持ち主に気づかれずにIDmを盗めるから同程度ではない
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
旧方式は FeliCa の IDm をチェックしているだけなので脆弱 (スコア:4, 参考になる)
旧方式は FeliCa の IDm をチェックしているだけなので脆弱でした。
IDm を自由にリードライトできるカードは中華通販やAmazonマーケットプレイスで普通に売買されていますし、読み書きはスマホでできます。
QRコードだってコピーできるのでは? と思うかもしれませんが、IDm は非接触でボトムスの外側からスキミングできてしまうし、ロッカーに預ける前の段階でスキミングしてストーキングすればロッカーの荷物を簡単に盗めてしまいます。
FeliCa がカーシェアのカギになるようなサービスも普通にありますが、同様に脆弱です。
脆弱性が解消されたという点で、改善です。
利便性についても、QRコードはスマホのカメラにとって同伴者などに送信できるので、利便性も無くしたときのバックアップ体制も高まっているといえると思います。
ただし、QRコードの写真で第三者が開けられることから、違法薬物の売買など犯罪への悪用は増えるかもしれません。
Re:旧方式は FeliCa の IDm をチェックしているだけなので脆弱 (スコア:4, 参考になる)
>旧方式は FeliCa の IDm をチェックしているだけ
だってさ [mobilesuica.com]
※全部が全部同じ仕様のロッカーとは言えんが、最低JR東日本のロッカーはこれだね
Re:旧方式は FeliCa の IDm をチェックしているだけなので脆弱 (スコア:1)
Suica IDの方はセキュアエレメントだから詐称できなくて、安心して使えるね。
脆弱なのは、小田急新宿駅とかにある ↓ のような IDm チェックしているタイプ。
https://www.shibutani.co.jp/special/baggageport.html [shibutani.co.jp]
> FeliCaとMIFAREの両方に対応
Re: (スコア:0)
IDiを読めたらOK程度の雑な実装の可能性もありそうだし、要検証かなぁ。
決済を同時に処理するならセキュアエレメントも動くだろうけど。
読み取り距離について (スコア:0)
普通のスマホで読み取る場合には、FeliCaはかなり近づけないと読み取れませんが、電磁誘導のパワーを上げれば結構離れていても読み書きできます。
パスケース・ボトムスのポケットの外側からでも普通に読み書きできます。
ただし、電波法違反に接触する恐れがあります。
Re: (スコア:0)
AT搭乗用パイロットスーツにポケットぐらいあるんじゃないの
「ボトムス」じゃなくて「パンツ」 (スコア:0)
大昔「ズボン」
昔「ボトムス」
今「パンツ」
です
今時「ボトムス」なんて古臭い言葉を使うから茶化されちゃうんですね
もし、会議室で「ボトムス」なんて言葉を使う人が居たら、笑ってお茶噴いちゃうかもしれないので大迷惑
「パンツ」というときには「パ」にアクセントを付けると下着のパンツの意味になってしまうので、平板型のアクセントで発音しましょう
Re:「ボトムス」じゃなくて「パンツ」 (スコア:2)
いやいやトラウザーズでしょ
Re:「ボトムス」じゃなくて「パンツ」 (スコア:1)
Re: (スコア:0)
「ボトムス」は「下半身の衣類」であってズボン(パンツ)だけの呼称じゃないから、普通にファッション用語としても使われてるだろ。
#「トップス」と組み合わせる用語は何だと思ってるんだろうか?
Re: (スコア:0)
トップギアでジェレミーがエレベーター内で女子アナのケツを見てセクハラしてた時、ナイスボトムと言ってたので、ただのお尻の意味も。
Re: (スコア:0)
そこまで真面目な話かな…
Re: (スコア:0)
> ただし、QRコードの写真で第三者が開けられることから、違法薬物の売買など犯罪への悪用は増えるかもしれません。
オレオレ詐欺で銀行口座を使わなくなるかも
Re: (スコア:0)
なるほど。
決済手段が増えたから不便になったわけじゃないのね。
セキュリティ強化で不便になったと。
まあ、紙ぐらいいいやん、と思うけどね。
Re: (スコア:0)
IDm は非接触でボトムスの外側からスキミングできてしまう
これどういう意味?
近寄ってカバンの下にリーダー当てるってこと?
それよりは離れた位置からQRコードを撮る方が簡単だと思うんだが間違ってる?
Re: (スコア:0)
言いたいことはわかるんだけど、それはパスコードを必須にすれば防げるのでは……
Re: (スコア:0)
そしらたら、また不便になったって怒るじゃん。
NFCのIDmの書き込み (スコア:0)
IDmは確かに読み取りできるけど、"IDmを"書き込むAPIなんて公開されていたっけ?
Re:NFCのIDmの書き込み (スコア:1)
カードがポーリングに対してIDmを応答する通信は暗号化すらされてないので、簡単に任意のIDmに偽装できる
http://www.atelier-nodoka.net/2012/05/arduino-rcs620s-tginittarget/ [atelier-nodoka.net]
もっと具体的にやり方書いちゃうと
FeliCaを偽装してみました その2
https://blogs.itmedia.co.jp/tamaki/2009/11/felica2-7b48.html [itmedia.co.jp]
> 偽装アプリに偽装したいIDmやEdyNo、金額を入力すると、自由自在にカード偽装することができます。携帯電話にインプリしているので、持ち運びも自由です。
ちなみに決済にはセキュアエレメントが使われているので偽装したデータで商品を買う事はできません
Re: (スコア:0)
普通のコインロッカーのカギと同じぐらいにはセキュアじゃね
Re: (スコア:0)
道具準備すればスキャン部に盗聴スキャナ貼ってID盗聴、全部開け放題にできる。
ピッキングの腕を十分に上げるよりは楽だし、
装置の仕掛け役や開け役にスキルが要らないので雑に人員用意できる。
ピッキングだとスキル持ち本人がアクセスするので
監視カメラの死角使っても通行者の相関で顔が割れる。
道具も基礎的な組み込み技術を押さえてたら行けそうな気がするし……
あとIDmはノーセキュリティなので一欠片もセキュアな要素はないよ。
Re: (スコア:0)
物理鍵と違って持ち主に気づかれずにIDmを盗めるから同程度ではない