IMEの通信解析で利用されたSSLの解析技術に関して

NHKなどで報道されている、パソコン用の日本語入力ソフトBaidu IME、 Android用の日本語入力ソフト Simejiの送信データを解析した件に関して詳細をご説明します。

検証解析環境

650CSP
<SSLによる暗号化通信を解析できる環境>


解析の結果、日本語入力の文字列が、SSLで暗号化され送信されていることがわかりました。

Baidu IME , Simejiでは、全角入力の場合のみ情報が送信されています。
クラウド入力Offの場合でも入力文字列を送信していました。
パスワードなど半角入力のみの場合は送信されていません。クレジット番号や電話番号も変換しなければ送られません。

Counter SSL Proxyを使って得られた結果を見てみましょう。

baidu
<Baidu IMEの場合>

py= 変換確定文字列
uid= Windowsのコンピューターのセキュリティ識別子SIDです。
app= 使用しているアプリケーションのパス名です。 Chromeなどの場合ユーザ領域に保存されるため、Windowsのユーザ名が送られるケースもあります。
version= Biadu IMEのバージョン

simeji

<Simejiの場合>
Simejiの場合は、クラウド入力OFF、ログ情報を送信がOFFの場合でも送信されます。

py= 変換確定文字列
uid= UUID による個別端末識別子
mobile= 使用しているデバイス名
app= 使用しているアプリケーションのパッケージ名
version= Simejiのバージョン

機能を誤解されやすいクラウド入力に関しては、設定でOFFにできます。
例としてはこのようになります。

cloud入力

< Simejiのクラウド入力 >



Simejiに関しては、アプリのリスク評価をsecroidが自動で評価していますのでご参考までに。
Simeji(日本語入力キーボード) | Secroid

報道を受けてBaidu IME, Simejiの方も改善すると思います。利用されている方はもう遅いのでバージョンアップを待ち、改善されるまで使用は控えたほうが良いかもしれません。

Counter SSL Proxyや、
スマートデバイスアプリ解析ツールが、
導入されている企業ではこのような通信を容易に発見できます。まだ導入されていない方はぜひともご検討ください。

追記:
12月26日中に Baidu IMEはクラウド入力をONできないバージョンを配布。作成日時は 12/25 21:59 でした。Simejiを6.6.2にアップデートした場合は、クラウド入力、ログの出力がされないことを確認しました。Simejiは、クラウド入力、ログ機能をディフォルトOFFに、ログ機能はバグが治らなかったのか、ONにしても送信されなくなっていました。Simejiのコード署名時間は 12/26 21:12:08でした。Google Playでの公開時間は23:55ごろでした。
アップデートされていない場合は早急にアップデートしましょう。Secoirdの評価も不明な部分も少なくしました。Simeji(日本語入力キーボード) | Secroid こちらも合わせてご覧ください。