モバイルデバイス管理アプリ「MobileTrack」に未対策の脆弱性(JVN)
IPAおよびJPCERT/CCは、Xelexの提供するモバイルデバイス管理アプリ「MobileTrack」に複数の脆弱性が存在するとJVNで発表した。
脆弱性と脅威
セキュリティホール・脆弱性
MobileTrackには、SMSを使用した管理コマンドの受付に認証不備の脆弱性(CVE-2012-2562、CVE-2012-2567)が存在する。また、全ユーザが MobileTrackにハードコードされた共通のユーザ名とパスワードを使用して、暗号化せずにXelexのFTPサーバと通信するという問題もある。この問題が悪用されると、リモートの攻撃者によって携帯端末を追跡されたり、設定の変更や端末内のユーザ情報を削除されるといった影響を受ける可能性がある。また、XelexのFTPサーバに保存された全ユーザの情報を取得される可能性がある。
《吉澤 亨史( Kouji Yoshizawa )》