サービス終了となった「Smooz」に未修正の脆弱性？ 利用の継続は大きなリスクを負うことに

「Smooz」の脆弱性を報告するGitHub上のmala氏のページ

　Webページの閲覧情報を自社サーバーに送信するなどの問題を指摘され、サービスを停止したスマホ用Webブラウザー「Smooz」には、最新版でも未修正の脆弱性が残されている模様だ。GitHubなどでセキュリティ関連情報を発信しているmala氏がGitHub上で警告している。

　mala氏によると、「Smooz」に2件の脆弱性を発見したため1件目は12月18日、2件目は
12月22日に開発元のアスツール社に報告したとのこと。1件目については12月20日付で公開された最新iOS版のv1.110.0で修正されたものの、2件目は修正版が公開されないまま、「Smooz」の公開が停止されてしまったという。

　未修正の脆弱性は、“はてなブックマーク”のコメントを自動取得する機能を有効にしていると、中間者攻撃により閲覧中WebページのURLを取得される恐れがあるというもの。例えば、フリーWi-Fiなどセキュリティの緩いネットワークを使い、オンラインストレージの共有URLへアクセスした場合などには、機密が漏洩する危険がある。

　さらに、最新版で修正済みの脆弱性も、公開間もなくアプリの配布が停止されてしまったため、修正版へアップデートされないまま残っている可能性がある。こちらの脆弱性は、かなり深刻で、自動入力用に登録しておいた住所・氏名・メールアドレス・電話番号を、悪意あるWebサイトによりアクセスするだけで盗み取られる可能性がある。

一方で自分がSmoozに報告した脆弱性というのは、悪意のあるWebページ側から全自動で入力サポート機能用に登録した住所氏名電話番号メールアドレスを盗み取れるというものです。影響はiOS版のみ(Android版は未実装)
これはバージョンアップしない限り直りません。類似事例https://t.co/bPzHQ41FUypic.twitter.com/KvVAetDi4m

— mala (@bulkneets)December 21, 2020

　これらの脆弱性にはCVE番号が割り当てられていないものの、アスツール社による1件目の脆弱性の修正報告にmala氏への感謝が付記されていることから、実際に存在する可能性が高い。また、Webブラウザーには必ず未発見の脆弱性が存在するため、これらの脆弱性以外にも脆弱性は存在すると考えるのが自然だ。「Smooz」に限らず、更新される見込みのないWebブラウザーを利用し続けることは大きなリスクを抱えることになるため、即座に利用を停止することをお勧めする。