Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IIJのOTPアプリに認証回避の脆弱性 - Android版のみ影響

インターネットイニシアティブが提供する二要素認証アプリ「IIJ SmartKey」のAndroid版にアプリケーションロックを回避されるおそれがあることがわかった。

20180511_gp_001.jpg
脆弱性を解消した「IIJ SmartKey」(画像:Google Play)

同製品において認証不備の脆弱性「CVE-2018-0584」が含まれていることが判明したもの。

アプリケーションロックを回避され、ワンタイムパスワードを取得されるおそれがあるという。脆弱性はAndroid版に存在し、iOS版は影響を受けないとしている。

同脆弱性は、AndroPlusの建口亮氏が情報処理推進機構(IPA)へ報告したものでJPCERTコーディネーションセンターが調整を実施した。

開発元であるIIJでは、脆弱性を修正した「同2.1.1」以降へアップデートするよう注意を呼びかけている。

(Security NEXT - 2018/05/11 ) このエントリーをはてなブックマークに追加

PR

関連記事

Google、「Chrome 103」をリリース - 重要度「クリティカル」の脆弱性に対処
脆弱性1件を修正した「Microsoft Edge 103.0.1264.44」が公開に
2022年における危険な脆弱性タイプのトップ25が明らかに
国家関与の攻撃グループ、早期より「VMware Horizon」「UAG」の「Log4Shell」を標的に
「Cisco ESA」などに深刻な脆弱性 - 認証バイパスのおそれ
「Comodo Antivirus」に脆弱性の指摘 - 研究者が公開
Mozilla、最新ブラウザ「Firefox 102」をリリース - 脆弱性19件を修正
HPE Crayスーパーコンピューターに深刻な脆弱性 - アップデートで修正
MS、「Microsoft Edge 103.0.1264.37」で独自修正した脆弱性を追加 - 評価の逆転現象も
独自の脆弱性修正含む「Microsoft Edge 103.0.1264.37」が公開