公開日:2024/05/10 最終更新日:2024/05/10

JVN#83405304
スマートフォンアプリ「OfferBox」における秘密鍵がハードコードされている問題

概要

株式会社i-plugが提供するスマートフォンアプリ「OfferBox」には、JWTの秘密鍵がハードコードされています。

影響を受けるシステム

  • Androidアプリ「OfferBox」2.0.0から2.3.17まで
  • iOSアプリ「OfferBox」2.1.7から2.6.14まで

詳細情報

株式会社i-plugが提供するスマートフォンアプリ「OfferBox」には、JWTの秘密鍵がハードコードされています(CWE-321)。

想定される影響

アプリ内のデータを解析された場合、JWTの秘密鍵が窃取される可能性があります。

対策方法

当該秘密鍵は2024年5月8日に開発者によって無効化されており、対策前のバージョンであっても本脆弱性の影響は受けません。そのため、ユーザは本脆弱性への対応について自発的行動を取る必要はありません。
なお、開発者は秘密鍵を内包しない次のバージョンをリリースしています。

  • Androidアプリ「OfferBox」3.0.0
  • iOSアプリ「OfferBox」3.0.0

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
株式会社i-plug 該当製品あり 2024/05/10

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
基本値: 4.0

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:楽天グループ株式会社 山手雄太 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2024-32988
JVN iPedia JVNDB-2024-000045