「+メッセージ」アプリに脆弱性。利用者にアップデートを推奨。

「+メッセージ」アプリに脆弱性。利用者にアップデートを推奨。

「+メッセージ」アプリに脆弱性。

出てきた瞬間は少しだけ (駄目な方向で)盛り上がった

+メッセージですが

 

すっかり存在を忘れていたところで

メッセージの情報などを窃取される恐れのある脆弱性が出ているようです。

auだけでなく共通利用のDocomo/ソフトバンクも対象となる。
JVN#37288228: スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性
対象となるバージョンは以下のバージョンより以前のもの

Android/iPhoneで「+メッセージ」アプリをご利用のお客さまのうち、以下の対象バージョンのアプリをご利用中のお客さま

Android版:ver1.0.3以前
iOS版  :ver1.1.21

 

auのプレスリリースではiOS向けアプリでは

1.1.23なら大丈夫そうな雰囲気ですが

IPAのサイトの表記では 最新版である1.2.0以外は危険という雰囲気。

影響を受けるシステム

SoftBank

  • Android アプリ「+メッセージ(プラスメッセージ)」 10.1.7 より前のバージョン
  • iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン

株式会社NTTドコモ

  • Android アプリ「+メッセージ(プラスメッセージ)」 42.40.2800 より前のバージョン
  • iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン

KDDI株式会社

  • Android アプリ「+メッセージ(プラスメッセージ)」 1.0.6 より前のバージョン
  • iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン

起きる事象

中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行なわれる可能性があります。

 

モバイルネットワークで通信している場合は問題ないようですが

公衆無線LANなどで

悪意あるSSL中間証明を利用されるとデータが盗聴

 

「+メッセージ」アプリをご利用のお客様へ アプリアップデートのお願い のご紹介ページ。auのお知らせの情報です。

 

 

というネタを、Wifiだと暗号化してないと

さんざん叩かれたLINE社の名前で出てくるのも一つの時代である

 

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: LINE株式会社 ma.la 氏

 

情報源: 「+メッセージ」アプリをご利用のお客様へ アプリアップデートのお願い | スマートフォン・携帯電話 | au