Android版IIJ SmartKey 2.1.0はパスコード入力を回避できる不具合があるため要注意

この記事の賞味期限は切れています。掲載内容や情報が古い可能性があります。

Android版IIJ SmartKey 2.1.0はパスコード入力を回避できる不具合があるため要注意

広告あり

Android版IIJ SmartKeyで、パスコード入力を回避できる不具合を発見しました。最新バージョンでは修正されているため、2.1.0を使用されている方は今すぐアップデートすることをおすすめします。

パスコードを回避できてしまう

IIJ SmartKeyは株式会社インターネットイニシアティブが提供している、2段階認証用のワンタイムパスワードを生成できるアプリです。

Google play IIJ SmartKey
IIJ SmartKeyInternet Initiative Japan Inc.
評価: 4.4 / 5段階中
価格: 無料 (2017/12/29 時点)

特徴でも一番に「パスコードによるロック機能で不正操作を防止」と書かれていますが、このパスコードによるロック機能を回避できてしまうことが分かりました。

パスコード入力画面
パスコード入力画面

アプリドロワーなどから起動すると通常は上の画像のようにパスコード入力画面が出ますが、Nova Launcherなどでアクティビティを選んで起動することでパスコード入力画面が表示せずに、2段階認証のコードが表示されるメイン画面を開けてしまいます。

同様の不具合はLastPass Authenticatorでも報告されており、LastPass Authenticatorでも修正されています。

この不具合により、スマートフォン自体のロックをしていない場合や、Smart Lockでロックがかかっていない場合、または悪意あるアプリをインストールした場合にワンタイムパスワードを第三者に取得されてしまう恐れがあります。

この問題はインターネットイニシアティブに報告済みで、2.1.1では修正済みです。

ただ、ヘルプによると「本アプリは無保証、無償にて提供」「(不具合報告等について) 個別のご返答はいたしかねます」とのことで、「プライベートから、ビジネスまで」と言う割には全くサポートが無いという微妙なスタンスなので、この機会にAuthyなど最低限サポートをしてくれるアプリに乗り換えることをおすすめします。

Authyは見た目もモダンで、二段階認証をクラウドにバックアップすることもでき、アプリ自体のロックに指紋認証やパスコードを利用できます。

Google play Authy 2-Factor Authentication
Authy 2-Factor AuthenticationAuthy
評価: 4.3 / 5段階中
価格: 無料 (2017/12/29 時点)

はてブ Pocket Mastodon タイトルとURLをコピー

カテゴリ:

技適の無い機器の使用は自己責任です。
中国版デバイスは日本語に対応していないものが多いため、ADBコマンドでの日本語化が必要です。
root化済み・非rootそれぞれのやり方はこちらの記事を参考にしてください。