2016年7月15日

アンドロイド版 GenieアプリのハードコードされたAPIキーとセッションIDの脆弱性について

 

 

アンドロイド版 Genieアプリで、ハードコードされたAPIキーとセッションIDが傍受される危険性があり、悪意を持った者がOpenDNSサーバー経由でネットワークにデバイスを追加・削除できる可能性があることが判明いたしました。

 

この脆弱性はアンドロイド版Genieのファームウェアバージョン2.4.28以前に影響があります。

 

NETGEARは対策として、ファームウェアバージョンを2.4.34以降にアップデートされることを強く推奨します。

 

【アンドロイド版 Genieアプリ バージョン2.4.34は以下のリンクから】

https://play.google.com/store/apps/details?id=com.dragonflow&feature=search_result#?t=W251bGwsMSwyLDEsImNvbS5kcmFnb25mbG93Il0&cid=wmt_netgear_organic

 

バージョン2.4.34にアップデートすることにより、攻撃者に対してAPIキーとセッションIDは不可視化されます。

英語：

http://kb.netgear.com/app/answers/detail/a_id/30922?cid=wmt_netgear_organic