マストドンアプリ「Tootdon」のAndroid版に脆弱性、DMなどの情報を盗み見られる恐れ

「Tootdon for マストドン(Mastodon)」開発元の株式会社つくりとの公式サポートブログより

　マストドンのクライアントアプリ「Tootdon for マストドン(Mastodon)」のAndroid版に脆弱性が見つかったとして、脆弱性対策情報ポータルサイト「Japan Vulnerability Notes（JVN）」と同アプリ開発元の株式会社つくりとが情報を公開した。

　Tootdon for マストドンはタイムラインの読み上げ機能やトゥート検索機能などを備えたアプリ。同アプリにはSSLサーバー証明書の検証不備の脆弱性が存在しており、中間者攻撃により通信内容の取得や改ざんなどが行なわれる可能性がある。

　CVE番号は「CVE-2019-5961」で、共有脆弱性評価システムCVSS v3のスコアは4.8。影響を受けるアプリのバージョンは3.4.1以前。なお、iOS版はこの脆弱性の影響は受けないとしている。

　脆弱性を悪用した攻撃が成立する条件について、JVNとつくりとでは分析結果を公表している。悪意を持って設置されたWi-Fiアクセスポイントなど、信用できないネットワークを使ってアプリを利用し、特定の暗号通信を行った場合、アクセストークンやダイレクトメッセージを含む情報を盗み見られたり、改ざんされる恐れがある。なお、マストドンのログイン情報（メールアドレスやパスワード）は影響を受けないとしている。

　この脆弱性への対策を施したバージョン「3.4.2」は5月16日に公開されている。最新版アプリのアップデートを適用するよう呼び掛けている。