公衆無線LANサービス「Japan Connected-free Wi-Fi」のアプリに脆弱性!

情報処理推進機構(IPA)セキュリティセンターおよびJPCERT コーディネーションセンター(JPCERT/CC)は27日、NTTブロードバンドプラットフォーム(以下、NTTBP)が提供する公衆無線LANサービス「Japan Connected-free Wi-Fi」のAndroidおよびiOS向けアプリに任意のAPIが実行可能な脆弱性が存在すると発表しています。

想定される影響は、Androidではアプリの権限で使用可能な、iOSのアプリではiOSで使用可能な範囲でそれぞれ任意のAPIを中間者攻撃によって実行される可能性があります。

NTTBPには報告して事前調整を経たため、今回公開したとのことで、すでに脆弱性を修正した最新版のアプリが公開されているため、古いアプリがインストールされている場合には最新版にアップデートするように案内されています。

02

今回明らかになった脆弱性は、NTTBPが提供する主に訪日向け公衆無線LANサービスとして提供されているJapan Connected-free Wi-Fiのスマートフォン(スマホ)など向けアプリにおけるものです。

Japan Connected-free Wi-Fiに対応したWi-Fiスポットを検索できるなど、訪日以外でも利用可能なアプリとなっており、影響を受けるはAndroid向けアプリではバージョン1.15.1以前、iOS向けアプリではバージョン1.13.0以前で2016年4月26日配信のコンテンツが未反映のもの。

すでにAndroid向けアプリはバージョン1.16.0が公開されており、iOS向けアプリもバージョン1.13.0にした上で2016年4月26日配信のコンテンツを反映することで脆弱性が修正されます。

この脆弱性を利用し、Wi-Fiのアクセスポイントを設置した第3者によって、中間者攻撃が行われることがあるとのこと。

管理番号は「CVE-2016-4811」および「JVNDB-2016-000076」で、共通脆弱性評価システム「CVSS v3」による脆弱性評価スコアは5.6、「CVSS v2」による脆弱性評価スコアは5.1。

記事執筆:memn0ck


[Image] QRコードアプリ名:Japan Connected-free Wi-Fi
価格:
カテゴリ: 旅行&地域
開発者:NTT Broadband Platform Inc.
バージョン:1.16.0
ANDROID 要件:2.3.3以上
Google Play Store:http://play.google.com/store/apps/details?id=com.nttbp.jfw

btn_android


[Image] QRコードアプリ名:Japan Connected-free Wi-Fi
価格:無料
カテゴリ:旅行
開発者:NTT Broadband Platform, Inc.
バージョン:1.13.0
条件:iOS 7.0 以降。iPhone、iPad、および iPod touch に対応。
iTunes Store:http://itunes.apple.com/jp/app/id810838196?mt=8

btn_itunes




■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
JVN#46888319: Japan Connected-free Wi-Fi における任意の API が実行可能な脆弱性
Japan Connected-free Wi-Fi