独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月6日、スマートフォンアプリ「一蘭公式アプリ」におけるサーバ証明書の検証不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。二本柳亮氏が報告を行っている。影響を受けるシステムは以下の通り。
iOS アプリ「一蘭公式アプリ」3.1.0 より前のバージョン
Android アプリ「一蘭公式アプリ」3.1.0 より前のバージョン
ビートレンド株式会社が開発し株式会社一蘭が提供するスマートフォンアプリ「一蘭公式アプリ」には、サーバ証明書の検証不備の脆弱性が存在し、無線 LAN のアクセスポイントを設置した第三者に中間者攻撃(man-in-the-middle attack)による暗号通信の盗聴などが行なわれる可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
