顔認識デバイス「Face ID」に認証欠如の問題

拡大写真

独立行政法人 情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は5月21日、Hanvon Technology Co.,Ltdの提供する顔認識デバイス「Face ID」に認証欠如の問題が存在すると「Japan Vulnerability Notes（JVN）」で発表した。

「Face ID ファームウェア 1.007.110 より前のバージョン」には、重要な機能に対する認証の欠如の問題（CVE-2014-2938）が存在する。この問題が悪用されると、攻撃者にユーザ情報およびアクセス制御に関する情報を改ざんされる可能性がある。JVNでは、開発者が提供する情報をもとにファームウェアをアップデートするよう呼びかけている。

顔認識デバイス「Face ID」に認証欠如の問題（JVN）

《吉澤亨史@ScanNetSecurity》

• Juniper Networksの「ScreenOS」にDoSの脆弱性（JVN）
• 「CENTUM」を含む複数のYOKOGAWA製品にバッファオーバーフローの脆弱性（JVN）
• 「intra-mart」にオープンリダイレクトの脆弱性（JVN）