PinterestやUberEATSなど複数のiOS/Androidアプリに脆弱性、JPCERT/CCが注意喚起
暗号鍵がハードコードされている脆弱性に関する資料
インターネットセキュリティ関連の対策などを行っているJPCERTコーディネーションセンター(JPCERT/CC)は、セキュリティ解析ツールを提供する米Kryptowire社の情報として、複数の iOS/Androidアプリに複数の脆弱性があると注意喚起している。
脆弱性は大きく分けて2つ。一つは、Android 端末にプリインストールされているアプリの、アクセス制限の不備に関する脆弱性。これにより、悪意あるサードパーティ製のアプリを介して、システムへのユーザアクセス許可や設定を悪用または回避される可能性がある。
また、複数の iOS/Androidアプリには、暗号鍵がハードコードされている脆弱性、そして安全性の低い暗号化技術を使用している脆弱性が存在。この脆弱性を利用して攻撃されると、攻撃者により権限を昇格される可能性がある。
この脆弱性を抱えたアプリは、写真共有アプリ「Pinterest」(バージョン 6.37 2017年10月24日公開:iOS) やフードデリバリーサービス「UberEATS: Uber for Food Delivery」(バージョン 1.108.10001 2017年11月2日公開:iOS)など、人気のアプリも含まれている。
脆弱性への対策としてはAndroid OSのアップデートや各iOS/Androidアプリを最新状態にアップデートすることが推奨されている。
また、複数の iOS/Androidアプリには、暗号鍵がハードコードされている脆弱性、そして安全性の低い暗号化技術を使用している脆弱性が存在。この脆弱性を利用して攻撃されると、攻撃者により権限を昇格される可能性がある。
この脆弱性を抱えたアプリは、写真共有アプリ「Pinterest」(バージョン 6.37 2017年10月24日公開:iOS) やフードデリバリーサービス「UberEATS: Uber for Food Delivery」(バージョン 1.108.10001 2017年11月2日公開:iOS)など、人気のアプリも含まれている。
脆弱性への対策としてはAndroid OSのアップデートや各iOS/Androidアプリを最新状態にアップデートすることが推奨されている。
