SWITCHBOT株式会社は7月、同社が提供する SwitchBot アプリ(iOS/Android)におけるセキュリティ脆弱性について発表した。影響を受けるシステムは以下の通り。
SwitchBot アプリ(iOS / Android) V6.24からV9.12までのバージョン
SwitchBot アプリには脆弱性が存在し、一部のユーザーデータがアプリのログファイルに保存される可能性がある。ログファイルは通常、ユーザーの端末内のみに保存され、外部からアクセスされることはない。本仕様はユーザー体験向上を目的としたものであったが、ごく稀な状況で情報漏えいのリスクが判明したという。
同社では6月10日に外部のセキュリティ研究者からの報告を受領後、開発チームで詳細情報を確認し、6月12日付で V9.13 で該当のログ保存機構を削除・改善し、6月20日にApp StoreおよびGoogle Playで修正版を公開している。
同社では顧客に、SwitchBotアプリを最新バージョン(V9.13以降)にアップデートするよう呼びかけている。
なお、アップデート後、約4日以内に新しいログファイルが生成され、この問題に関連するセキュリティリスクは解消されるとのこと。
