富士ゼロックスの複数のスマホアプリに盗聴などが行われる脆弱性(JVN)
IPAおよびJPCERT/CCは、富士ゼロックスが提供する複数のスマートフォンアプリに、SSLサーバ証明書の検証不備の脆弱性が存在すると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
脆弱性が確認されたスマートフォンアプリは次の通り。
iOS アプリ「netprint」3.2.3 およびそれ以前(CVE-2020-5520)
iOS アプリ「かんたんnetprint」2.0.2 およびそれ以前(CVE-2020-5521)
Android アプリ「かんたんnetprint」2.0.3 およびそれ以前(CVE-2020-5522)
これらのスマートフォンアプリには、SSLサーバ証明書の検証不備の脆弱性が存在する。この脆弱性が悪用されると、中間者攻撃(man-in-the-middle attack)による暗号通信の盗聴などが行われる可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》