Android 版 Kindle の SSL サーバ証明書検証不備脆弱性。

　表題の件，我々一般人には，一見関係なさそうに見えるが，怪しいアプリをうかつに使わないとか，メールアカウントやパスワードの管理をしっかりするとかいうことでは，同じなんじゃないかと思う。

　そういえば，昨日，「ネット競売、消せぬ情報　大手３社、履歴・カード番号保存　利用者「流出が心配」」というのもあったな。えって，思うかもしれないけど，結構そういうとこ多い。だって，登録させる側からいえば，データの不正使用をする気はなくても，ユーザ側の無料版の反復利用を防ぐためだけでも，元情報は必要なわけだから，良心的であっても，罰則がないなら，データを保持するほうが妥当だと思う。どのくらい保持するとかで口を拭ってる様子は感じられるが……。知識の欠如から対応がいい加減なところもあるにはあるけどね。

　登録データの削除については，簡単／困難／不能をまとめたこんなサイトがある。 justdelete.me 。
　このサイトは， bitly.com (有名どころだが，日本語対応がないみたいなので， twitter そのものの短縮リンクが向上してからは，使うのをやめようとしたのだ) のアカウントを削除しようと四苦八苦しているときに発見した。
　まぁ， justdelete.me の一覧を見ると，サイトの性質から考えても， HARD あるいは impossible で当然だなと思うところもたくさんあるけど……。 justdelete.me ，日本語でも似たものがあるのかな。

　やっと，本題。
　29 日に JVN から Android 版アプリ Kindle における SSL サーバ証明書の検証不備の脆弱性というのが出ていて，セキュリティホール memo さんが「そのうち徳丸さんから解説が出るだろう」と書いておられた解説が出た。「Android版KindleにおけるSSLサーバ証明書の検証不備の脆弱性CVE-2014-3908」。読んでみたけど，難しくて，よくわからん。

　証明書を作るときに「コモンネームをちゃんとやってねー」というのはよく聞く。一致してない場合は，アクセスさせてくれないからだと，理解していた。これは，自前証明局の話ね。

　でも，奥さんの記事「SSL/TLSライブラリの正しい使い方（もしくは、コモンネームの検証について）」を読むと，多数の人がアクセスするアプリの場合，コモンネームの検証の実装はそれほど単純なものではないみたいだ。うちの自宅サーバレベルは蚊帳の外みたい（爆）。

　徳丸さんの解説は難しくて 100% 理解しているとはいいがたいのだが，それでも「コモンネームの検証が漏れてる場合があるって，超ヤバいじゃん」ということくらいは十分わかる。

　8月初めには，「App Storeのアプリが盗まれた」って話もあったし，スマホが一気に普及して，それ関係の悪事も花盛りだな。

　徳丸さんの記事の件は，実際に悪用されてるかどうかは現時点で不明なようだが，持っている方は，既に対応バージョンが出ているようだし， 「Kindle – Google Play の Android アプリ」でアップデートしておこう。

　「App Storeのアプリが盗まれた」の件については，セキュリティホール memo さんによると，いたのくまんぼうさんとこが，有用みたい。「注意喚起：アプリ乗っ取り犯の手口判明。ITCアカウントの入力を求めるアプリには注意！」