Androidアプリをご利用のお客様へアップデートのお願い

Photopt のAndroidアプリ バージョン1.1.0以前にSSLサーバ証明書の検証不備の脆弱性が存在することが判明しました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により、HTTPS通信の内容を盗聴または改ざんされる危険性があるため、アプリのバージョンアップで対策を実施しました。1.1.0 以前の全てのバージョンをご利用のお客様はアプリのアップデートをお願いします。
現状、アプリではお客様自身でアプリのバージョンを確認いただくことができません。お手数ですが2016年4月11日以降にアップデートを行っていないお客様は、Google Playで対策後のバージョン 2.0.1へのアップデートをお試しください。

脆弱性の説明

Photoptは、ファイルのサーバ保存閲覧などのためにHTTPS通信の機能を搭載しています。このHTTPS通信において、SSLサーバ証明書の検証不備の脆弱性(セキュリティ上の欠陥)が存在するため、中間者攻撃を受けた場合、攻撃者にHTTPS通信の内容を盗聴または改ざんされる脆弱性が存在します。

どのような危険性があるか

悪意ある第三者により設置された不正な無線LANを利用した場合、通信の内容を盗聴または改ざんされる危険性があります。攻撃者が通信経路上に仲介し、通信データを操作できる環境においては、攻撃者により不正なSSLサーバ証明書に差替を行われる可能性がありま す。これにより、悪意のある第三者は、通信データを復号することでHTTPS通信の内容を盗聴または改ざんできる可能性があります。

対策方法

Androidアプリ「Photopt」バージョン 1.1.0 より前の製品を利用されているお客様は、Google Playで対策版アプリ(バージョン 2.0.1)をアップデートインストールしてください。
また提供者が不明な無線LANへの接続を控えることで、悪意のある第三者が通信の内容を盗聴または改ざんすることを回避することができます。

謝辞

本脆弱性については磯 侑斗氏よりこの問題をご報告いただきました。

更新履歴

2016年04月12日 対策版アプリ バージョン 2.0.1を公開しました

2016年04月20日 本情報ページを公開しました