ニュース

「宅配ピザのPizzaHut」Android版、暗号通信が盗聴される恐れ

 独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は7日、Androidアプリ「ピザハット公式アプリ 宅配ピザのPizzaHut」に脆弱性が見つかったことを公表した。

 同アプリのバージョン「1.1.0.a」以前において、SSLサーバー証明書の検証不備の脆弱性があり、中間者攻撃による暗号通信の盗聴などが行なわれる可能性があるという。これを修正したバージョン「1.1.1.a」がGoogle Playで公開されており、ユーザーは最新バージョンにアップデートするよう呼び掛けている。

 なお、iOS版ではこの脆弱性の影響は受けないとしている。

 同アプリは、スマートフォンからピザを注文できるアプリ。自宅への宅配やテイクアウトの注文のほか、スマートフォンのGPS機能にも対応しており、配達エリア内であればユーザーが今いる公園や河川敷などにも届けてもらうことが可能。

 JPCERT/CCでは、この脆弱性を悪用した攻撃が成立する条件について分析結果も公表しており、攻撃経路としては、Ethernetなどローカルセグメント内(BluetoothやIEEE 802.11なども含む)からの攻撃が可能。無線LANアクセスポイントを設置した第三者によって中間者攻撃が行われることを想定しているという。

(永沢 茂)