パケットキャプチャをしてわかった。LINEは危険。

ケータイの開発現場の話なので、多くは語れないが、
今日、すこし解析をしていてこれはどうなんだ？？と思った件を。メモ。

　標的はAndroidのLINEはアプリ。


1. LINEを入れていると、電池もちが悪くなる件

LINEって、なんかAppleのiMessageみたく、SNSやってるような画面ありますよね。

こんなやつ。（http://news.ameba.jp/image/20120723-287/ から拝借させていただきましたm(_ _)m）

チャットやってる最中にリアルタイムに相手からのメッセージが飛んでくる仕組みは、
まあなんとなくわかりますよね。チャットサーバー的なものにコネクション張りっぱなしにしておいて、受け取ってるんでしょうね。

では、
アプリ画面を閉じてる時ってどうなってると思います？

メール通知みたいな感じでLINEのメッセージを届ける仕組みはどうなっているのか？

rootハックした端末で、tcpdumpをとってみてみました。

なんと、HTTPのKeep-Aliveで実現されているんですね。
ようするに、Android端末はDeepSleepに入っていないんですよ。


まあ、ただ、LINE開発者もちゃんと考えてはいて、多少の考慮はされています。


Keep-AliveのTimeoutが何回か続くと、その後はAlarmManagerのRTC_WAKEUPにゆだねて、5分に1回のポーリングをする動作に切り替えて、Keep-Aliveをやめるようにはなっています。


2. あれ、HTTPって、セキュリティ的に大丈夫なんだっけ・・・？

で、一番の問題は電池の問題じゃなくて、ココ

＞なんと、HTTPのKeep-Aliveで実現されているんですね。

でピンときた人もいるかもしれない。

そう、メッセージの内容が盗聴できる！

(2012.10.16 写真追加)

tcpdump -n -s 0 -w /data/local/tmp/line.pcap
（チャット、送信！）
Ctrl+c

と、かなり狙った手順ではありますが、
キャプチャ結果を見ると、どうみても暗号化されてないのがわかります。
その気になれば、盗聴も改ざんもできそうです。

ちなみに、Wifi通信だと、平文っぽくはありませんでした。なんらかの暗号化がされているようです。平文通信なのは、3Gの時だけのようです。


んにしても、「そんな、盗聴されたら会話が丸見えだなんて！」と思う人は多々いるでしょう。

あまり世の中には知られてなさそうだったので、細々とでも、ここのブログで発信してみます。

root化した端末で、Settings.secure.*の設定値を勝手に書き換える。

電池もちの悪いスマホをどうにかしようと、LTEにアタッチさせない方法をいろいろ探っているときに、たまたま見つけたHackテクニックを紹介。

すでに、某所にて回答として書いたネタだったりするのですが、結構いろいろできておもしろいので、こちらでも紹介。

そもそもSettings.secureがいじれると何が嬉しい？
私自身、何が嬉しいかはよく知りません（爆）
本来、getすることができてもsetすることはできない設定値をいじれることが嬉しい、ってだけの完全にダメなハッカーです。はい。

一応リファレンス見てみると…
http://developer.android.com/reference/android/provider/Settings.Secure.html

う〜ん、なんかピンと来るもんはないですね。パーミッションさえあればAndroid標準で提供されているAPIを経由して設定できるものが多いです。
WIFI系の設定値で、AP_COUNTとかWATCH_DOGなんとか、みたいなのがある程度でしょうか。

あ、Settings.systemのほうもいじれますよ。念のため。ただ、system設定をいじったところで、そんなにおもしろいことはできないような。。偏見ですが。


どうやっていじるか

Settings.systemとかSettings.secureって、実体は何かって知ってます？
Androidのソースを読むと分かるんですが、結局のところ
/data/data/com.android.providers.settings/databases/settings.dbを、
コンテントプロバイダ経由で読み書きしてるだけなんですね。

root@android:/ #sqlite3 /data/data/com.android.providers.settings/databases/settings.db

SQLite version 3.7.2
Enter ".help" for instructions
Enter SQL statements terminated with a ";"
sqlite> .table

android_metadata   bookmarks          system          bluetooth_devices  secure  

こんな具合に、root権があると、sqlite使って覗けちゃうんですよね。

ということは！　ですよ。

su -c "echo | sqlite3 <上記settings.dbのパス>"

って、アプリからrootシェルたちあげて実行すれば、putInt(Settings.secureなんちゃら)みたいの書いたりせずとも、ましてや、AndroidManifestでパーミッションを設定していなくても、設定値を読み書きできちゃうんですね。

アイディアとしてはそんな感じです。
実装はここをみてください。SuperUser+su環境でrootシェルを動かすための補助クラスを使って8行程度と、非常に簡単にできてしまうのです。。
あんまりおおっぴらに言ってしまうと、よろしくない内容なので、多くは語りません（^^;;

スマートフォンのLTE待受で電池がもたなさすぎな件についてAndroidソースコードを読んで考える

職業柄、毎日のようにスマホをさわっているのだけども、どうも気になって仕方がないことがある。
それが、電池もちの悪さだ。
企業秘密とかもあるので、多くは語れないのだけど、語れる部分をいうと、概してLTE待受の電池もちが悪い。

うちの製品だけだったら、富士通がんばれよ、と2chに書けば済む話だが、
実際には他の会社も同じようなのだ。

あのSamsungが珍しくフィーバーを起こした、Galaxy Note。
docomo版はLTE対応。無駄に羊が歩いているのはrootをとって根っから削除したとしても、1日とちょっとしか電池が持たない。
いっぽう、国際版の3G only版はというと、余裕で2日はもつ。もちろん、特段の配慮など全くしていない。普段使いのままで、である。

そこで、簡単に思いつくのは、3Gだけにしかアタッチしないようにすればいいのではないか？という話。
イーモバイルのルーターだと回線接続を安定させる目的ではあるがLTE onlyや3G onlyにする裏技が用意されている。
これはAndroidで実現できない訳がない。

ということで、ためしにAndroidのソースコード検索で「WCDMA only」で検索してみた。

あったwwww

モデム側が実装しているかどうか、は別として、Androidの仕組みとしては存在しているらしい。
じゃあ、どこから設定ができるのだろう。

アプリ側のルートを追ってみた。
ここでNT_MODE_WCDMA_ONLYという変数が定義されててこいつが使われているところをたどると...

意外にもPhoneであった。
あれ、これって、あのAPN設定とかあの辺の並びじゃない？

でも、手元の端末にはそのような設定はないぞ？
うーん、ソースコード的には選べるはずなんだけどな。。
ってことは、何？ わざわざWCDMA onlyという選択肢をメーカーのカスタマイズで消してるってこと？
(勝手なイメージコード)

418     <string-array name="preferred_network_mode_choices">
419         <item>LTE / CDMA</item>
420         <!--<item>EvDo only</item>-->
421         <!--<item>CDMA w/o EvDo</item>-->
422         <!--<item>CDMA / EvDo auto</item>-->
423         <item>GSM / WCDMA auto</item>
424         <!--<item>WCDMA only</item>-->
425         <item>GSM only</item>
426         <!--<item>GSM / WCDMA preferred</item>-->
427     </string-array>
428     <string-array name="preferred_network_mode_values"  translatable="false">
429         <item>"7"</item>
430         <!--<item>"6"</item>-->
431         <!--<item>"5"</item>-->
432         <!--<item>"4"</item>-->
433         <item>"3"</item>
434         <!--<item>"2"</item>-->
435         <item>"1"</item>
436         <!--<item>"0"</item>-->
437     </string-array>

べつに電池がもつならそれでいいんだけど、速度いらない、むしろ電池持つ方がうれしい！っていう時もあるんじゃないの？
そんなわけで、ちょっとrootとって、3Gだけにしかアタッチしない電話を作ってみようと思う。

いじるのは↑のリソースファイル。ここでWCDMA only(value=2)を選択可能にしてあげれば良さげーである。

まあ、国内版Galaxy note LTEに使われているモデム側が実装ないとダメなところではあるが。モノは試しである。

Xperia rayをWebサーバーにする。

なんとなくWeb鯖を自前で作りたいと感じたので、なんとなくアキバへ向かった。

今回の必要条件としては、CPU 1GHz、メモリ512MB。そんでもって15000円以内。
そんななかで、候補に上がったのは以下の3つ。
・第4世代iPod touch
・F-12C
・Xperia ray(SO-03C)

なんとなく、触ったことのないものがいいなと思い、SO-03Cに決定。14000円なり。
いくら中古ったって、購入日2012/03/30だぜ？安すぎ。

・rootハック
いまやメジャーなexploit ツール、zergRushで瞬殺。

・なんとなくシャッター音を消す
/system/build.propにある
ro.camera.sound.forcedを0にする
（参考：http://gadget-shot.com/2011/10/04/xperia-ray-so-03c-camera-sound/）

・Lighttpdのインストール
さて、シャッター音が消えて満足したところで本題のWebサーバのインストールにかかる。
Apacheは組み込み系では不向きらしい、というネット情報から、iPod touchでも実績のあるlighttpdを使用。
Android用のバイナリはここからありがたく拝借。

そんで、
adb push php-5.3.8_lighttpd_1.4.29_armv5.tar.gz /data/local/
で端末に突っ込んで、

adb shell
$ su
# mount -o remount /system /system
# mount -o remount /  /
# cp /data/local/php-5.3.8_lighttpd_1.4.29_armv5.tar.gz  /
# tar xzvf php-5.3.8_lighttpd_1.4.29_armv5.tar.gz

これでOK。

あとは、

# reload_fcgi.sh
# reload_lighttpd.sh

とすれば、80番ポートでHTTPデーモンが居座りはじめる。

なおWebrootは/system/var/www/。ここはRead-onlyなので、
適当に/sdcard/wwwとかにシンボリックリンクを貼っておくといい。

# ln -s /sdcard/www /system/var/www
# ln -s /sdcard/www-log /system/var/log

・起動時にHTTPサーバが立ち上がるようにする
これ、簡単そうで意外とハマった。
ネット情報だと/system/etc/install-recovery.shが呼ばれるだとか書いてある。
たしかに、init.rcをのぞいてみると

service flash_recovery /system/etc/install-recovery.sh

    oneshot

ってかいてある。しかし、実際にはなぜか呼ばれてないように見える。

ほかに起動時に呼ばれそうなものを目星つけて、
・/system/etc/pre_hw_config.sh
これがいけそう。

ただ、こいつが呼ばれるタイミングがちょっと特殊で
・PATH（環境変数）がセットされてない
・SDカード上がマウントされていない
というもの。これじゃ都合が悪い。

いろいろ試行錯誤した後、結局こいつの末尾に

export PATH=/system/bin:/system/xbin
#local script
(sleep 30 && /system/etc/local.sh > /sdcard/local_sh.log 2>&1) &

こんなかんじで追加してやれば、起動してちょっとたってから/system/etc/local.shをroot権で実行してくれる。

あとは、/etc/local.shというファイルに、さっきのHTTPデーモンを立ち上げるコマンド2行（reload_fcgi.shとreload_lighttpd.sh）をフルパスで追加すればよい。
そんで、再起動すれば、

iwaki-yuusuke-no-MacBook-Air:~ yi01$ adb shell netstat -l
Proto Recv-Q Send-Q Local Address          Foreign Address        State
 tcp       0      0 127.0.0.1:9001         0.0.0.0:*              LISTEN
 tcp       0      0 192.168.100.100:5001   0.0.0.0:*              LISTEN
 tcp       0      0 0.0.0.0:80             0.0.0.0:*              LISTEN
 udp       0      0 0.0.0.0:1024           0.0.0.0:*              CLOSE
 udp       0      0 192.168.100.100:40156  0.0.0.0:*              CLOSE
 udp       0      0 239.255.255.250:1900   0.0.0.0:*              CLOSE

おおお！Webサーバになってくれました。

あとは、iPod touchの時みたいに、OpenVPNクライアントとかrinetdでごにょごにょすれば、公開Webサーバにできる。いぇい！

Galaxy NoteにタブレットUIのROMをいれる

Imilka AOSP v08のTablet UIを入れてみた。
GMailが2painで使えるのは非常に便利です。さすがタブレット用。

S Penも、マウスとして認識してくれます。

しばらく(公式ROMが出るまでは)こいつで使ってみて遊んでみようかなと思います。