ニュース 2020.02.04 富士ゼロックスのスマホアプリに脆弱性、盗聴などが行われる可能性も
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は1月21日、富士ゼロックス株式会社が提供する複数のスマートフォンアプリに脆弱性が存在すると発表した。
発表によるとこれらのスマートフォンアプリには、HTTP暗号化通信で使用するSSLサーバ証明書の検証に不備があったものと見られる。
悪意のある攻撃者によってこの脆弱性を悪用されると、無線LANのアクセスポイントを設置した第三者によって、送信者と受信者の両方になりすますという中間者攻撃が行われ、暗号通信の盗聴、あるいは改ざんがなされる可能性があるとのことだ。
脆弱性が発見されたのはネットプリントサービスアプリ
今回脆弱性が発見されたスマートフォンアプリは、以下の通りとなっている。
● iOSアプリ「netprint 」3.2.3 およびそれ以前
● iOSアプリ「かんたんnetprint 」2.0.2 およびそれ以前
● Androidアプリ「かんたんnetprint 」2.0.3 およびそれ以前
なお、Android版の「netprint 」およびWebブラウザから本サービスを利用する分には脆弱性はないとのことだ。
この問題に関して富士ゼロックスは、App StoreとGoogle Playにおいて対策を行ったバージョンを提供しており、アプリを最新版にアップデートするよう呼びかけている。
【関連リンク】
・ネットプリント®サービスのスマートフォンアプリの不具合(脆弱性)について(富士通ゼロックス)
https://www.printing.ne.jp/support/information/AppVulnerability.html
・富士ゼロックス製の複数のスマートフォンアプリにおける SSL サーバ証明書の検証不備の脆弱性(JPCERT/CC)
https://jvn.jp/jp/JVN66435380/
TEXT:セキュリティ通信 編集部
PHOTO:iStock