くら寿司公式アプリに脆弱性、起動時強制アップデートで対応 JVN報告

JVN（Japan Vulnerability Notes）は5月11日、EPG（東京都港区）が提供するスマートフォンアプリ「くら寿司 公式アプリ」に証明書検証不備の脆弱性が存在すると公表した。

脆弱性の対象はiOS版とAndroid版のいずれも「バージョン2.0.11」から「3.9.10」までとされている。

プッシュ通知に関する通信における証明書検証不備により、無線LANのアクセスポイントを設置した第三者が、プッシュ通知の通信内容を盗聴したり改ざんしたりする可能性があるという。

対策は最新版へのアップデートで、iOS版、Android版ともに対策済みの「3.9.11」が提供されている。影響を受けるバージョンを使用している場合、起動時に強制アップデートが開始される仕組みだ。

JVNは、JPCERTコーディネーションセンターと情報処理推進機構（IPA）が共同運営する脆弱性対策情報ポータルサイトであり、日本で使用されるソフトウェアなどの脆弱性関連情報とその対策情報を提供している。