Androidアプリ「TP-Link Tether」および「TP-Link Tapo」にサーバ証明書の検証不備の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月21日、Androidアプリ「TP-Link Tether」および「TP-Link Tapo」におけるサーバ証明書の検証不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。東京電機大学 情報通信工学科 暗号方式・暗号プロトコル研究室の伊藤健一郎氏が報告を行っている。影響を受けるシステムは以下の通り。

サイボウズGaroon に複数の脆弱性

TP-Link Tether 4.5.13より前のバージョン
TP-Link Tapo 3.3.6より前のバージョン

TP-LINK GLOBAL INC.が提供するAndroidアプリ「TP-Link Tether」および「TP-Link Tapo」には、サーバ証明書の検証不備の脆弱性が存在し、中間者攻撃(man-in-the-middle attack)による暗号通信の盗聴などが行なわれる可能性がある。

JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

© 株式会社イード