JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は11月29日、「JVN#43845108: 複数のFCNT製Android端末における認証回避の脆弱性」において、FCNT製Androidスマートフォンに脆弱性が存在するとして、注意を喚起した。
この脆弱性を悪用されると、ロック解除済みの条件下において攻撃者はセキュリティ機能を本人認証操作なしで変更できる可能性がある。
-
JVN#43845108: 複数のFCNT製Android端末における認証回避の脆弱性
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
- 弊社が製造した一部のスマートフォンをご利用のお客様へ | FCNT合同会社
- arrows N F-51Cのソフトウェアアップデート | お客様サポート | NTTドコモ
- arrows We F-51Bのソフトウェアアップデート | お客様サポート | NTTドコモ
- arrows We(アローズ ウィー)FCG01 アップデート情報 | 製品アップデート情報 | au
- arrows Weをご利用中のお客さまへ(2023年12月20日) | スマートフォン・携帯電話 | ソフトバンク
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-53701 - 認証バイパスの脆弱性。攻撃者は特定の条件下において、デバイス固有のセキュリティ機能を閲覧または変更できる可能性がある(CVSSスコア: 3.1)
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- NTTドコモ arrows N F-51C ビルド番号 V51R057Cより前のバージョン
- NTTドコモ arrows We F-51B ビルド番号 V70RD50Aより前のバージョン
- KDDI arrows We FCG01 ビルド番号 V68RK50Aより前のバージョン
- SoftBank arrows We ビルド番号 V71RS50Aより前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- NTTドコモ arrows N F-51C ビルド番号 V51R057C
- NTTドコモ arrows We F-51B ビルド番号 V70RD50A
- KDDI arrows We FCG01 ビルド番号 V68RK50A
- SoftBank arrows We ビルド番号 V71RS50A
NTTドコモのarrows We F-51Bは、より新しいバージョンの「V81RD41M」がリリースされている。NTTドコモはこの最新バージョンへのアップデートを推奨している。
この脆弱性を悪用するには、事前にロック画面を解除する必要がある。そのため、深刻度は低いと評価されているが、FCNTは該当デバイスを利用しているユーザーに対し、各ベンダーが提供する情報を確認してアップデートすることを推奨している。
GoogleアカウントがGmailアドレス「@gmail.com」の変更に対応
