JVN(Japan Vulnerability Notes)は5月11日、EPG(東京都港区)が提供するスマートフォンアプリ「くら寿司 公式アプリ」に証明書検証不備の脆弱性が存在すると公表しました。
脆弱性の詳細
この脆弱性は、iOS版とAndroid版のいずれも「バージョン2.0.11」から「3.9.10」までが対象です。プッシュ通知に関する通信における証明書検証不備があり、無線LANのアクセスポイントを設置した第三者によってプッシュ通知に関する通信内容の傍受や改ざんが行われる可能性があります。
対策とアップデート
対策として、最新版へのアップデートが推奨されています。iOS版、Android版ともに対策済みの「3.9.11」が提供されており、影響を受けるバージョンを使用している場合は、起動時に強制アップデートが始まります。
—
JVNは、JPCERTコーディネーションセンターと情報処理推進機構(IPA)が共同運営する脆弱性対策情報ポータルサイトです。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供しています。アプリのバージョンは、ホーム画面の右上にある「メニュー」で確認できます。
