公衆無線LANサービス「Japan Connected-free Wi-Fi」のAndroidおよびiOS向けアプリに脆弱性!すでに最新状態に更新で対応可能に
| 公衆無線LANサービス「Japan Connected-free Wi-Fi」のアプリに脆弱性! |
情報処理推進機構(IPA)セキュリティセンターおよびJPCERT コーディネーションセンター(JPCERT/CC)は27日、NTTブロードバンドプラットフォーム(以下、NTTBP)が提供する公衆無線LANサービス「Japan Connected-free Wi-Fi」のAndroidおよびiOS向けアプリに任意のAPIが実行可能な脆弱性が存在すると発表しています。
想定される影響は、Androidではアプリの権限で使用可能な、iOSのアプリではiOSで使用可能な範囲でそれぞれ任意のAPIを中間者攻撃によって実行される可能性があります。
NTTBPには報告して事前調整を経たため、今回公開したとのことで、すでに脆弱性を修正した最新版のアプリが公開されているため、古いアプリがインストールされている場合には最新版にアップデートするように案内されています。
今回明らかになった脆弱性は、NTTBPが提供する主に訪日向け公衆無線LANサービスとして提供されているJapan Connected-free Wi-Fiのスマートフォン(スマホ)など向けアプリにおけるものです。
Japan Connected-free Wi-Fiに対応したWi-Fiスポットを検索できるなど、訪日以外でも利用可能なアプリとなっており、影響を受けるはAndroid向けアプリではバージョン1.15.1以前、iOS向けアプリではバージョン1.13.0以前で2016年4月26日配信のコンテンツが未反映のもの。
すでにAndroid向けアプリはバージョン1.16.0が公開されており、iOS向けアプリもバージョン1.13.0にした上で2016年4月26日配信のコンテンツを反映することで脆弱性が修正されます。
この脆弱性を利用し、Wi-Fiのアクセスポイントを設置した第3者によって、中間者攻撃が行われることがあるとのこと。
管理番号は「CVE-2016-4811」および「JVNDB-2016-000076」で、共通脆弱性評価システム「CVSS v3」による脆弱性評価スコアは5.6、「CVSS v2」による脆弱性評価スコアは5.1。
記事執筆:memn0ck
価格:
カテゴリ: 旅行&地域