スマートフォンアプリ「mobiGate」の旧バージョンに脆弱性 - JVN

JVN#27260483 スマートフォンアプリ「mobiGate」における SSL サーバ証明書の検証不備の脆弱性

IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は1日、日本ユニシス提供のスマートフォンアプリ「mobiGate」の旧バージョンにSSLサーバ証明書の検証不備の脆弱性が存在するとして、JVN (Japan Vulnerability Notes)において情報(JVN#27260483)を公表し、最新版へのアップデートを促した。

対象となるバージョンはAndroid アプリ「mobiGate」バージョン 2.2.1.2 およびそれ以前とiOSアプリ「mobiGate」バージョン 2.2.4.1 およびそれ以前。対象となるバージョンにはSSLサーバ証明書不備の脆弱性があり、無線LANのアクセスポイントを設置した悪意のある第三者が盗聴などを行う中間者攻撃 (man-in-the-middle attack) が行われる可能性がある。

最新版はそれぞれストアで(Google Play/App Store)公開されており、最新版へのアップデートが推奨される。