ニュース
無料Wi-Fi検索アプリ「Japan Connected-free Wi-Fi」に脆弱性、最新版へのアップデートで対策を
(2015/9/11 14:02)
独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は11日、訪日外国人向けの無料Wi-Fi検索アプリ「Japan Connected-free Wi-Fi」のアプリ(iOS/Android)に脆弱性が発見されたことを発表した。対策が施された最新版アプリへアップデートするよう、注意を呼び掛けている。
今回の情報は、IPAへの届出をもとに、JPCERT/CCと製品開発者であるNTTブロードバンドプラットフォーム株式会社(NTTBP)の事前調整を経て、脆弱性情報サイト「JVN(Japan Vulnerability Notes)」で公開された。
Japan Connected-free Wi-Fiは、各地の自治体や企業がそれぞれ独自に展開している無料公衆無線LANサービスを一括検索できるアプリ。訪日外国人向けとされているが、実際には日本在住者でもアプリをダウンロードしたり、ユーザー登録することが可能。
脆弱性は全部で2つ。まず、URLスキームを使って起動することで、任意のページを表示させることが可能になる問題があった。これにより、任意のAPIが実行される恐れがある。
また、SSIDの表示に起因する、スクリプトインジェクションの脆弱性も存在した。特殊なSSIDが設定されたアクセスポイントに接続すると、アプリ上で任意のスクリプトが実行される可能性がある。
この2つの脆弱性は、iOSアプリのバージョン1.0.2およびそれ以前、Androidアプリのバージョン1.6.0およびそれ以前に存在するが、すでに公開済みの最新版へアップデートすることで対策できる。