OSのプロキシ設定を無視したHTTP接続を行っている

[Guest126]

不具合の内容 / Describe the bug

COCOA は一部の WebView 表示（規約関係）を除き、OS のプロキシ設定を無視し、直接のインターネット接続を行っています。

組織によってはセキュリティ上の理由から、直接のインターネット接続を遮断し、端末のインターネット接続をすべてフォワードプロキシ経由で行っているケースがあります（IPAによる模式図）。このような環境下で COCOA は利用者の意図に反してプロキシを経由しないため、診断キーサーバーとの通信が遮断され、濃厚接触を判定・通知できないと思われます。

再現手順 / Steps to reproduce

1. OWASP ZAP や mitimproxy といった診断用ローカルプロキシを PC で設定する
2. COCOA インストール端末でプロキシへの接続設定を行う
3. プロキシの root 証明書を端末にインストールする
4. COCOA を起動し、一通りの画面遷移を行う
5. プロキシに記録された HTTP 接続を確認する

期待される挙動 / Expected behavior

OSのプロキシ設定に準じたHTTP接続を行う

またはアプリ自体にプロキシ設定機能を持たせる

スクリーンショット / Screenshots

N/A

動作環境 / Environments

• デバイス：NoxPlayer
• OS：Android OS 7.1.2
• バージョン：1.2.2

その他 / Additional context

OWASP モバイルセキュリティテストガイドによると、これは Xamarin アプリの標準仕様のようです。

Xamarin アプリをテストするときに Wi-Fi 設定でシステムプロキシを設定しようとすると、傍受プロキシで HTTP リクエストを見ることができなくなります。Xamarin により作成されたアプリはスマホのローカルプロキシ設定を使用しないためです。これを解決する方法は三つあります。

iOS でも同様の可能性がありますが、実機でどうなるかまでは確認していません。

この仕様があり #85 の再現テストが難しくなっています。

---

Internal Tracking ID: PRODUCT BACKLOG ITEM 1785

[keiji]

接触確認APIは、プライバシーに密接に関わる情報を取り扱うという性質上、プロキシーを使うことで通信が傍受できてしまうことの方が問題であるとぼくは認識しています。

ご指摘の内容はCOCOAの正常動作であると考えます。

@heykuro @halsk
何かあれば補足をお願いします。

@keiji
プロキシを使うことと、ユーザCA を信頼するかどうかの問題とが混同されていないでしょうか。

正しくあるべきなのは、プロキシ設定は有効であるけれどもユーザCA は信頼しない
(network-security-config の設定に従う)というのが Android でのセキュリティモデルではないかと思います。
この場合は、プロキシサーバ上では暗号化された通信が単に中継されるだけなので
内容を解読することはできません。

iOS はたぶんそういう機能がないのでユーザCAをインストールできる環境では傍受できてしまいますが
それは一次的には OS 側の機能不足かと考えます
(別途 SSL Pinning などで防ぐことはできますが別のレイヤの話です)

[keiji]

話を整理したいのですが、descriptionでは「傍受プロキシが使えないのでデバッグが難しくなっている」と言う趣旨で結んであるのですが、大事なのはタイトルにあるシステムのプロキシをアプリが使わない（無視する）と言うことでしょうか。

積極的に通信の傍受をしなかったとしても、プロキシサーバー経由して通信をしたときに、宛先サーバーや通信量、ネットワークへの接続時間帯から接触者であることが類推できる可能性があることが知られています。Googleのリファレンスサーバーではダミー（チャフ）リクエストを出すという方法が提案されていますね。

COCOAではプライバシーは一丁目一番地です。プロキシサーバーが使える利便性よりもユーザープライバシー保護を優先すべきかとぼくは考えます。

一方、プロキシサーバーを介しては通信できないよと周知することは重要であることはぼくも個人的に同意するところです。
そちらは運営に関する話になりますので、厚生労働省の所定の窓口にご連絡ください。

@heykuro @halsk
ぼく個人の見解は述べたとおりです。なにか相違などあれば補足をお願いします。

比べるとしたら、リファレンスサーバの話よりは、Google / Apple のサンプルアプリの方で
proxy を拒否しているかどうかとか、iOS 版の EN Express の動作とかをみてみるべきなのかなとは
思いました。

個人的に困ってはいないですが、例えば感染者が入院先の病院の WiFi に接続した場合に
陽性者登録できないなどの問題が起きないかという懸念はあるわけなので、アナウンスはいると思います。

[tmurakami]

通信内容が傍受できてしまう件については、急ぎ issue を上げました。
ご確認下さい。

[Guest126]

@b-wind さん

この状態で Android Emulator の設定から Proxy を指定すると Xamarin の通信のみHTTPSでも復号して見られます。

Android OS よりも下のレイヤーでプロキシ設定することで #85 の再現テストは可能ということですね。参考にします。

@keiji さん

接触確認APIは、プライバシーに密接に関わる情報を取り扱うという性質上、プロキシーを使うことで通信が傍受できてしまうことの方が問題であるとぼくは認識しています。

概念実証のために通信傍受用のプロキシを再現手順に起用したためそのように思われてしまったのかもしれませんが、その認識は事実とは異なります。通信傍受用のプロキシは標準で SSL/TLS を終端し HTTPS のサーバ証明書を書き換えてしまうので root 証明書をインストールする手順を入れていますが、サーバ証明書を書き換えずにパケットを転送する設定にすれば root 証明書をインストールする必要はありませんし、root 証明書をインストールしていなければ HTTPS 通信を解読されることはありません。

たとえプロキシを使わずとも、直接インターネットに繋がっているゲートウェイルータの方で通信をいくらでも傍受・類推できてしまいますので、プロキシの話と通信傍受の話は別物として切り離して考えてください。プロキシサーバを通過しないからといってプライバシーが保護されるということはありません。

話を整理したいのですが、descriptionでは「傍受プロキシが使えないのでデバッグが難しくなっている」と言う趣旨で結んであるのですが、大事なのはタイトルにあるシステムのプロキシをアプリが使わない（無視する）と言うことでしょうか。

デバッグについては「その他」のコンテキストですので重要ではありません。大事なのは、大企業や官公庁、教育機関等で採用されているであろうネットワーク構成で COCOA が機能しない可能性があるということです。こうした企業がどの程度あるのか客観的な数値は把握していませんが、昔から聞く話ですので、珍しくはないと考えています。

一方、プロキシサーバーを介しては通信できないよと周知することは重要であることはぼくも個人的に同意するところです。
そちらは運営に関する話になりますので、厚生労働省の所定の窓口にご連絡ください。

そうですね。現時点では本 Issue がどう着地するか分からないので、あとで連絡します。

@zipperpull さん

iOS はたぶんそういう機能がないのでユーザCAをインストールできる環境では傍受できてしまいますが

私の認識では Android OS も iOS も機能的には変わりないです。iOS でもプロキシの構成プロファイルと root 証明書（ユーザCA）の構成プロファイルは別個にインストールできるので、「プロキシ設定は有効であるけれどもユーザCA は信頼しない」ということは可能だと思います。

@Guest126 さん
私の iOS 側の知識不足かもしれないです。すみません。

一応確認なのですが、iOS でルート証明書を追加した場合、OS設定で
証明書を自分で信頼する操作が必要になったところまでは認識しています。
https://support.apple.com/ja-jp/HT204477

iOS 9以前では、ネットワーク管理者が不明な場合や悪意がある場合にも
ルート証明書が自動的に信頼されてしまうために、意図しない傍受が可能だったのが、
この設定が追加されたことによって防げるようになったと思われます。

ですが、この機能でも、mitmproxy などで意図的にユーザが傍受したい場合には
信頼する設定をすることで傍受できてしまい、このユーザ証明書を信頼する操作を
アプリ側のコードでは拒否することができないのでは、という認識でいるため、

iOS はたぶんそういう機能がない

という記載としました(いずれにしても省きすぎていてわかりづらかったのはすみません)。

iOS の新しい機能で別途そういう機能があるのかもしれないのでもしご存知なら
リンクだけでも教えていただければありがたいです(自分でも調べてはみます)

追記: この話は #96 に書いた方がよかったですね。すみません

[keiji]

@Guest126 さん
ぼくはこういうケースでは、ネットワークの経由は少ない方がいいと考えています。

「ゲートウェイで見る方法もあるのだからプロキシを制限する理由にはならない」と言う話であれば（もし違っていたらご指摘ください）、それはプロキシサーバーの制限を外す理由にはならないと考えています。

その上で、セキュリティ利便性を向上させることができるのは素晴らしいと思うので、両立できる案があれば、是非検討していきたいです。

デバッグについては @b-wind さんの手法で足りるでしょうか。

[Guest126]

@zipperpull

ごめんなさい。私が一方的に勘違いしていました。OS 側でどの証明書を信頼するかではなく、アプリ側でどの証明書を信頼するか制御する機能が iOS にはないということですね。

@keiji さん
私の認識では、

プロキシサーバーの制限を外す

というのが違っていて、そもそも Xamarin がデフォルトでは古い apache http client を使っているために

• OS のプロキシ設定を無視している
• ユーザCA証明書はデフォルトで全て信頼してしまう

という問題を引き起こしています。 @tmurakami さんがおっしゃる方法で HttpURLConnection を使うように
修正した場合、上記の逆で

• OS のプロキシ設定が有効になる
• ユーザCA証明書は信頼しない

という実装になるのが自然なのですが、あえてプロキシ設定されていても無視するように
実装するべきという意見がありますか？

[Guest126]

@keiji さん

ぼくはこういうケースでは、ネットワークの経由は少ない方がいいと考えています。

例えば未だに COCOA が平文の HTTP 接続を用いているとかであればそういう考えもあると思うんですが、私が確認する限りではすべて暗号化された HTTPS 接続になっている上に、プロキシ設定は利用者が自ら設定するものですから、杞憂であると思います。

そこまでならプロキシを制限する理由も、あえてプロキシの制限を外す理由もないといったところだと思いますが、なにぶんプロキシ環境下で濃厚接触を判定・通知できないというリスクが大きすぎるので、制限を外す方向に持っていくのが望ましいと考えています。

[keiji]

@Guest126 さんとしてはプロキシの制限は外すことが望ましいとのこと、@zipperpull さんはプロキシの設定を無視していることに特段の理由がなければ、よりモダンな通信ライブラリ（HttpURLConnection）に差し替えようという提案ですね。

プロキシの設定について制約を続けるにせよ、解除するにせよ、Apache HttpClientを廃止するのは、これは積極的に進めたいですね！

プロキシサーバーについては @heykuro @halsk にもお願いして確認してみます。しばらくお時間をください。