NTTドコモ、KDDI(au)、ソフトバンクの携帯大手3社が今年の5月にスタートさせた、携帯電話番号だけでメッセージを送受信できるサービス『+メッセージ』において脆弱性が見つかっていました。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
今年の4月と6月にこのブログでも取り上げた『+メッセージ』ですが、ある脆弱性が見つかっていたようです。
(4月の記事:+メッセージはSMSとは別もの)
(6月の記事:+メッセージの使用には要注意)
+メッセージにおける盗聴等の脆弱性
9月27日、IPA(独立行政法人情報処理推進機構)とJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)から『+メッセージ』に関する脆弱性情報が公開されました。
<概要>
スマートフォンアプリ「+メッセージ(プラスメッセージ)」には、SSL サーバ証明書の検証不備の脆弱性が存在します。
想定される影響
中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行なわれる可能性があります。
<影響を受けるシステム>
【NTTドコモ】
・Android アプリ「+メッセージ(プラスメッセージ)」 42.40.2800 より前のバージョン
・iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン
【KDDI(au)】
・Android アプリ「+メッセージ(プラスメッセージ)」 1.0.6 より前のバージョン
・iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン
【SoftBank】
・Android アプリ「+メッセージ(プラスメッセージ)」 10.1.7 より前のバージョン
・iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン
<対策方法>
最新版へのアップデート
ちなみに、この脆弱性の報告者は『LINE株式会社』の方であったそうです。