「+メッセージ」アプリに脆弱性。利用者にアップデートを推奨。
本ページはアフィリエイトプログラムによる収益を得ています。
「+メッセージ」アプリに脆弱性。
出てきた瞬間は少しだけ (駄目な方向で)盛り上がった
+メッセージですが
すっかり存在を忘れていたところで
メッセージの情報などを窃取される恐れのある脆弱性が出ているようです。
auだけでなく共通利用のDocomo/ソフトバンクも対象となる。
JVN#37288228: スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性
対象となるバージョンは以下のバージョンより以前のもの
|
Android/iPhoneで「+メッセージ」アプリをご利用のお客さまのうち、以下の対象バージョンのアプリをご利用中のお客さま Android版:ver1.0.3以前 |
auのプレスリリースではiOS向けアプリでは
1.1.23なら大丈夫そうな雰囲気ですが
IPAのサイトの表記では 最新版である1.2.0以外は危険という雰囲気。
SoftBank
- Android アプリ「+メッセージ(プラスメッセージ)」 10.1.7 より前のバージョン
- iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン
株式会社NTTドコモ
- Android アプリ「+メッセージ(プラスメッセージ)」 42.40.2800 より前のバージョン
- iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン
KDDI株式会社
- Android アプリ「+メッセージ(プラスメッセージ)」 1.0.6 より前のバージョン
- iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン
起きる事象
中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行なわれる可能性があります。
モバイルネットワークで通信している場合は問題ないようですが
公衆無線LANなどで
悪意あるSSL中間証明を利用されるとデータが盗聴
「+メッセージ」アプリをご利用のお客様へ アプリアップデートのお願い のご紹介ページ。auのお知らせの情報です。
というネタを、Wifiだと暗号化してないと
さんざん叩かれたLINE社の名前で出てくるのも一つの時代である
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: LINE株式会社 ma.la 氏
情報源: 「+メッセージ」アプリをご利用のお客様へ アプリアップデートのお願い | スマートフォン・携帯電話 | au
![[基地局]新風吹トンネル基地局[和歌山]](https://i0.wp.com/satoweb.net/wp-content/uploads/2015/08/DSC09353.jpg?resize=150%2C150&ssl=1)
