Android版IIJ SmartKey 2.1.0はパスコード入力を回避できる不具合があるため要注意

当サイトで紹介するMODやアプリなどの内、システムファイルの改変やシステムに深く関わるものはroot化やリカバリが必須となります(root化の必要なしと明記している場合は除く)。導入は自己責任で行ってください。また、技適の無い機器の使用は自己責任です。

Android版IIJ SmartKey 2.1.0はパスコード入力を回避できる不具合があるため要注意

Android版IIJ SmartKeyで、パスコード入力を回避できる不具合を発見しました。最新バージョンでは修正されているため、2.1.0を使用されている方は今すぐアップデートすることをおすすめします。


パスコードを回避できてしまう

IIJ SmartKeyは株式会社インターネットイニシアティブが提供している、2段階認証用のワンタイムパスワードを生成できるアプリです。

Google play IIJ SmartKey
IIJ SmartKeyInternet Initiative Japan Inc.
評価: 4.4 / 5段階中
価格: 無料 (2017/12/29 時点)

特徴でも一番に「パスコードによるロック機能で不正操作を防止」と書かれていますが、このパスコードによるロック機能を回避できてしまうことが分かりました。

パスコード入力画面
パスコード入力画面

アプリドロワーなどから起動すると通常は上の画像のようにパスコード入力画面が出ますが、特殊な操作をすることでパスコード入力画面が表示せずに、2段階認証のコードが表示されるメイン画面を開けてしまいます。

同様の不具合はLastPass Authenticatorでも報告されており、LastPass Authenticatorでも修正されています。

この不具合により、スマートフォン自体のロックをしていない場合や、Smart Lockでロックがかかっていない場合、または悪意あるアプリをインストールした場合にワンタイムパスワードを第三者に取得されてしまう恐れがあります。

この問題はインターネットイニシアティブに報告済みで、2.1.1では修正済みです。

ただ、ヘルプによると「本アプリは無保証、無償にて提供」「(不具合報告等について) 個別のご返答はいたしかねます」とのことで、「プライベートから、ビジネスまで」と言う割には全くサポートが無いという微妙なスタンスなので、この機会にAuthyなど最低限サポートをしてくれるアプリに乗り換えることをおすすめします。

Authyは見た目もモダンで、二段階認証をクラウドにバックアップすることもでき、アプリ自体のロックに指紋認証やパスコードを利用できます。

Google play Authy 2-Factor Authentication
Authy 2-Factor AuthenticationAuthy
評価: 4.3 / 5段階中
価格: 無料 (2017/12/29 時点)


To ESATO, sumahoinfo, gazyekichi-iperia: DO NOT COPY MY CONTENTS without a link to my website. If you stole and post my contents to ESATO or your website, you have an obligation to pay me $100 per post via PayPal.

Google+ はてブ Pocket Mastodon タイトルとURLをコピー

カテゴリ:
コメントフォーム右上の「ログイン」メニューで各種SNSアカウントでログインできます。
匿名でコメントしたい場合は、名前とメールアドレスを入力した後「アカウントを作成せず投稿する」にチェックを入れてください。Disqusに登録すると、返信通知を受け取れます。