情報処理推進機構(IPA)とJPCERTコーディネーションセンターは2月12日、iOSアプリ「Akerun - Smart Lock Robot」にSSLサーバー証明書の検証不備の脆弱性があるとして、注意喚起を行った。
Akerunは、フォトシンスが提供するスマートロックアプリで、ドアに専用デバイスの「Akerun」を取り付けるだけで、アプリによってドアの開閉が可能になる。同様のソリューションでは、Qrioなどがある。
この脆弱性では、悪意のある第三者が用意したWi-Fiネットワークに接続した場合、通信内容の一部を読み取られる中間者攻撃を受ける恐れがある。なお、フォトシンスによるとログインに必要な情報を読み取られる可能性はあるという。ただ、第三者がなりすましてログインしても、「ほかのスマートフォンからログインされた場合は、現在登録しているスマートフォンがログアウト状態になるため、すぐに気づくことができる」としている。
対象となるアプリのバージョンはAkerunのiOSアプリ「1.2.4」未満。脆弱性を修正した最新版の1.2.4が公開されているため、アップデートすることで問題は解決できる。なお、アップデート後はAkerunアカウントのログインパスワード変更を推奨している。また、Android向けアプリについては、脆弱性が存在しなかった。
