Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性

2019年4月2日

省庁・団体名

独立行政法人情報処理推進機構

概要

概要

Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバには、アクセス制限不備の脆弱性が存在します。

影響を受けるシステム

Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」 バージョン 1.2.4 およびそれ以前

詳細情報

日本旅客鉄道株式会社が提供する Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバには、アクセス制限不備の脆弱性 (CWE-284) が存在します。
なお、当該アプリは 2019年3月23日をもって、公開およびサービスを終了しています。

想定される影響

遠隔の第三者によって、ユーザの登録情報を取得されたり、改ざんされたりする可能性があります。

対策方法

• Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」を使用しない
• Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」の開発およびサポートは終了しています。当該製品の使用を停止し、アンインストールしてください。
• 開発者は、自身のホームページ、スマートフォンアプリ「JR東日本アプリ」、および LINE の「JR東日本 Chat Bot」の使用を推奨しています。

詳細

• https://jvn.jp/jp/JVN01119243/index.html

お問い合わせ

IPA　セキュリティセンター E-mail：vuln-inq@ipa.go.jp
※個別の環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。