公開日:2024/03/08 最終更新日:2024/04/26

JVNVU#91793178
Chirp Systems製スマートフォンアプリ「Chirp Access」におけるハードコードされたパスワードの使用の脆弱性

概要

Chirp Systemsが提供するスマートフォンアプリ「Chirp Access」には、ハードコードされたパスワードの使用の脆弱性が存在します。

影響を受けるシステム

  • Androidアプリ「Chirp Access」すべてのバージョン
  • iOSアプリ「Chirp Access」すべてのバージョン

詳細情報

Chirp Systemsが提供するスマートフォンアプリ「Chirp Access」には、次の脆弱性が存在します。

  • ハードコードされたパスワードの使用 (CWE-259) - CVE-2024-2197

想定される影響

Bluetoothの到達範囲にいる攻撃者によってBluetoothビーコンの設定を変更され、Bluetoothを不可視状態にされる可能性があります。
なお、Bluetoothを不可視状態にされた場合であっても、当該アプリを使用して制御するアクセスポイントの遠隔制御機能(施錠および解錠)には影響しません。

対策方法

開発者に問い合わせる
2024年4月26日現在、開発者による対応などの情報提供は確認できていません。
詳細はChirp Systemsの親会社であるRealPageに問い合わせてください。

ベンダ情報

ベンダ リンク
RealPage, Inc. Support
Chirp Systems Contact

参考情報

  1. ICS Advisory | ICSA-24-067-01
    Chirp Systems Chirp Access

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2024/04/26
[タイトル]、[概要]、[影響を受けるシステム]、[詳細情報]、[想定される影響]、[対策方法]、[ベンダ情報リンク]を更新しました。