概要
モバイルアプリ OTA(Over-the-Air)更新プラットフォーム Cap-go のバージョン 12.128.2 未満において、OTP(ワンタイムパスワード)検証に脆弱性が確認されました。
攻撃者は OTP 検証リクエストを傍受し、HTTP レスポンスを操作することで検証成功として処理させることができます。これにより認証なしで 2FA(二段階認証)を有効化したり、被害者のアカウントを乗っ取ることが可能となります。
本脆弱性は CWE-345(不十分なデータ信頼性検証)に分類されます。
技術的詳細
適切に実装された OTP 検証では、サーバーサイドで検証が完結し、クライアントからのレスポンス値はあくまで「成功」「失敗」の通知に過ぎません。しかし Cap-go の実装では、OTP 検証の成否判断がクライアント側のレスポンス値に依存していた可能性があります。
中間者(MITM)攻撃や HTTP レスポンス操作により、攻撃者は検証結果を偽造できます。これにより:
- メールアドレスを検証せずに 2FA を有効化できる
- 検証フローをバイパスしてアカウント操作ができる
OTP や検証トークンのセキュリティは、サーバーサイドでの状態管理と検証が不可欠です。クライアントが「成功」と主張するレスポンスをサーバーが信頼する設計は根本的な脆弱性となります。
Cap-go 12.128.2 で本問題は修正されています。CVE-2026-56081(認証ロジック不備)と同様に、Cap-go の認証フロー全般に関わる修正がこのバージョンで行われています。
CVSSベクトル
| 指標 | 値 |
|---|---|
| 攻撃ベクトル(AV) | ネットワーク (N) |
| 攻撃複雑度(AC) | 低 (L) |
| 必要権限(PR) | 不要 (N) |
| ユーザー操作(UI) | 不要 (N) |
| スコープ(S) | 変更あり (C) |
| 機密性(C) | 高 (H) |
| 完全性(I) | 低 (L) |
| 可用性(A) | 低 (L) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Cap-go (capgo) | Cap-go | 12.128.2 未満 |
修正バージョンと回避策
修正バージョン: Cap-go 12.128.2
推奨対応:
- Cap-go 12.128.2 以降へアップデートする
- OTP 検証ログを確認し不審な認証イベントがないか確認する
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。