最終更新日: 2017/02/08
情報源
Japan Vulnerability Notes JVN#01014759
Android アプリ「LaLa Call」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN01014759/
Japan Vulnerability Notes JVN#21114208
Android アプリ「ビジネスLaLa Call」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN21114208/
概要
Android アプリ「LaLa Call」および「ビジネスLaLa Call」には、SSL サーバ証明書の検証不備の脆弱性があります。結果として、遠隔の第三者が、中間者攻撃によって暗号通信を盗聴するなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
– Android アプリ「LaLa Call」 ver2.4.7 およびそれ以前
– Android アプリ「ビジネスLaLa Call」 ver1.4.7 およびそれ以前
この問題は、Android アプリ「LaLa Call」および「ビジネスLaLa Call」を株式会社ケイ・オプティコムが提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社ケイ・オプティコムが提供する情報を参照してください。
関連文書 (日本語)
LaLa Call
Android版アプリにおけるSSLサーバー証明書の脆弱性と修正完了のお知らせ
https://support.lalacall.jp/news/510/
LaLa Call
Android版ビジネスLaLaCallにおけるアップデートのお願いについて
https://business.lalacall.jp/support/news/511/
引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2017-02-08」
https://www.jpcert.or.jp/wr/2017/wr170501.html