Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性

最終更新日: 2019/04/10

情報源

Japan Vulnerability Notes JVN#01119243
Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN01119243/

概要

Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用するAPI サーバには、アクセス制限不備の脆弱性があります。結果として、遠隔の第三者が、ユーザの登録情報を取得したり、改ざんしたりする可能性があります。
対象となるバージョンは次のとおりです。

– Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」 バージョン 1.2.4 およびそれ以前

Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」の開発およびサポートは終了しています。当該製品の使用を停止し、アンインストールしてください。東日本旅客鉄道株式会社は、自身のホームページ、スマートフォンアプリ「JR東日本アプリ」、および LINE の「JR東日本 Chat Bot」の使用を推奨しています。

関連文書(日本語)

東日本旅客鉄道株式会社

JR 東日本 列車運行情報アプリのサービス終了について
https://www.jreast.co.jp/press/2018/20190310.pdf

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-04-10」
https://www.jpcert.or.jp/wr/2019/wr191401.html