ニュース

NTT-BPの無料Wi-Fiスポット検索アプリ「Japan Connected-free Wi-Fi」に脆弱性

 独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は27日、「Japan Connected-free Wi-Fi」のiOS版/Android版アプリに任意のAPIが実行可能な脆弱性「CVE-2016-4811」があることを公表した。最新版ではこの脆弱性は修正されている。

 Japan Connected-free Wi-Fiは、無料公衆無線LANサービスを一括検索できるアプリ。訪日外国人向けとなっているが、国内在住者でもアプリをダウンロードして、ユーザー登録が行える。

 脆弱性が発見されたのは、Androidアプリのバージョン「1.15.1」以前と、iOSアプリの「1.13.0」以前で、4月26日配信のコンテンツが未反映のもの。共通脆弱性評価システム「CVSS v3」による脆弱性評価スコアは5.6となっている。

 Androidアプリではアプリケーションの権限で使用可能な範囲で、iOSアプリではiOSで使用可能な範囲で、それぞれ中間者攻撃によって任意のAPIを実行される可能性がある。

 今回の情報は、IPAへの届出をもとに、JPCERT/CCと製品開発者であるNTTブロードバンドプラットフォーム株式会社(NTT-BP)の事前調整を経て、脆弱性情報サイト「JVN(Japan Vulnerability Notes)」で公開された。

(岩崎 宰守)