独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月29日、複数のFCNT製Android端末における認証回避の脆弱性について発表した。影響を受けるシステムは以下の通り。
・株式会社NTTドコモ向け
arrows N F-51C ビルド番号 V51R057Cより前のバージョン
arrows We F-51B ビルド番号 V70RD50Aより前のバージョン
・KDDI株式会社向け
arrows We FCG01 ビルド番号 V68RK50Aより前のバージョン
・ソフトバンク株式会社向け
arrows We ビルド番号 V71RS50Aより前のバージョン
複数のFCNT製Android端末には、端末内の任意のアプリや通知などをユーザが非表示に設定できる「プライバシーモード」などのセキュリティ機能が提供されており、これらのセキュリティ機能の設定画面を表示するには認証が必要となっているが、特定の条件下において認証なしで設定画面の表示および設定変更が可能となる認証回避の脆弱性が存在する。
想定される影響としては、ユーザが画面ロックを解除した端末を攻撃者が直接操作可能な場合、セキュリティ機能の設定を認証なしで閲覧されたり、変更されたりする可能性がある。また、攻撃者がセキュリティ機能の設定を変更した場合、ユーザが非表示にしていた端末内の特定のアプリを表示されたり、起動される可能性がある。
JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。
