独立行政法人情報処理推進機構（IPA）セキュリティセンターと一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は27日、「Japan Connected-free Wi-Fi」のiOS版／Android版アプリに任意のAPIが実行可能な脆弱性「CVE-2016-4811」があることを公表した。最新版ではこの脆弱性は修正されている。

Japan Connected-free Wi-Fiは、無料公衆無線LANサービスを一括検索できるアプリ。訪日外国人向けとなっているが、国内在住者でもアプリをダウンロードして、ユーザー登録が行える。

脆弱性が発見されたのは、Androidアプリのバージョン「1.15.1」以前と、iOSアプリの「1.13.0」以前で、4月26日配信のコンテンツが未反映のもの。共通脆弱性評価システム「CVSS v3」による脆弱性評価スコアは5.6となっている。

Androidアプリではアプリケーションの権限で使用可能な範囲で、iOSアプリではiOSで使用可能な範囲で、それぞれ中間者攻撃によって任意のAPIを実行される可能性がある。

今回の情報は、IPAへの届出をもとに、JPCERT/CCと製品開発者であるNTTブロードバンドプラットフォーム株式会社（NTT-BP）の事前調整を経て、脆弱性情報サイト「JVN（Japan Vulnerability Notes）」で公開された。