スマートロック「Akerun」をご利用いただき、ありがとうございます。

iOS版「Akerun」アプリにおきまして、「悪意のある第三者が、特定のネットワーク上において、通信内容の一部を読み取ることができる脆弱性」が発見されたため、概要と対策をお知らせいたします。

 

<脆弱性の内容>

悪意を持って工作された無線LAN(Wi-Fiネットワーク)に接続した際に、ログインに必要な情報を読み取られる可能性があります。

※3G/4G/LTE回線や、自宅・会社など、信頼できる管理者による無線LAN(Wi-Fiネットワーク)上では、問題ありません。

ログインに必要な情報を読み取られた場合、その第三者がなりすましてログインをする可能性がありますが、他のスマホ端末からログインされた場合は、今お使い頂いている端末にてログアウト処理が行われますので、すぐ気づくことが可能です。

またAkerun本体の鍵情報につきましては、今回の脆弱性の影響を受けることはありません。

 

<現在、iOS版「Akerun」アプリをご利用の方へ>

2016/02/08(月)に、本脆弱性への対策が行われたアプリ(ver.1.2.4)をAppStoreにて公開いたしました(予定)。

アップデートがお済みでない方は、速やかにアップデートをお願いいたします。

※古いバージョンのアプリをご利用の方にはアプリ内にてアップデートをご案内しています。

アップデート後はAkerunアカウントのログインパスワードのご変更を推奨しています。

パスワード変更はアプリ内部より可能です。

※万が一、正しいパスワードを入れていてもログインできない場合、悪意のある第三者によってログインパスワードが変更されている恐れがあります。

この場合は、ログイン画面よりパスワードの再発行をお願いします。

 

<以前にiOS版「Akerun」アプリのご利用をなさっている方へ>

「Akerun」アプリ利用後に、Akerunアカウントのログインパスワードをご変更されていない方はご変更を推奨しております。

※iOS版「Akerun」アプリをご利用なられたことのない方におきましては、本脆弱性の影響はありません。

 

<今回修正された脆弱性の詳細>

■発覚経路

2015年12月11日、JPCERTコーディネーションセンター(JPCERT/CC)、および情報処理推進機構(IPA)を通じて、末房建太さま、塩見友規さまからのご指摘により発覚しました。

この度のご指摘に感謝申し上げます。

■本脆弱性の分類

・「中間者攻撃(man-in-the-middle attack)」を受けうる脆弱性。

■脆弱性が発生する状況

下記の条件を全て満たした際に悪意のある第三者による通信内容の読み取りが起こる可能性がありました。

・iOS版「Akerun」アプリのバージョンが、1.2.4未満。

・悪意を持って工作された無線LAN(Wi-Fiネットワーク)に接続。

 ※3G/4G/LTE回線や、自宅・会社など、信頼できる管理者による無線LAN(Wi-Fiネットワーク)上では、問題ありません。

 

<Android版「Akerun」アプリにつきまして>

今回のご指摘を受け、Android版「Akerun」アプリについても同様の脆弱性がないことを確認しました。