独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月8日、TONEストアアプリがTONEストアと平文で通信している問題について「Japan Vulnerability Notes(JVN)」で発表した。唐川幸大氏が報告を行っている。影響を受けるシステムは以下の通り。
TONEストアアプリ バージョン 3.4.2およびそれ以前
※当該アプリはTONEスマートフォンにプリインストールされている。
株式会社ドリーム・トレイン・インターネットが提供するTONEストアアプリには、TONEストアのウェブサイトと平文で通信している問題が存在し、中間者攻撃(man-in-the-middle attack)によって、第三者に通信内容を傍受されたり、改ざんされたりする可能性がある。
JVNでは、開発者が提供する情報をもとにアプリを最新版へアップデートするよう呼びかけている。なお、インターネット接続設定を有効にしている場合は、自動アップデートが適用される。
