【Simeji】調査の中間報告 No.2【脆弱性】

2016年3月2日から2016年5月30日の期間、株式会社スプラウトが運営する日本初のバグ報奨金プラットフォーム「Bug Bounty」サービスによる脆弱性調査を実施しています。
5月19日現在までの調査結果をご報告します。

前回の報告はこちら:【Simeji】調査の中間報告 No.1【脆弱性】

調査対象

Simeji


※1 アプリケーションが接続するサーバは調査対象範囲外です。
※2 PC版のSimeji for Windows(β)は対象外になります。

依頼内容

1. スマホの乗っ取りが可能かどうか
 乗っ取り:ユーザーの意に反して通話、SMS送信、メール送信、カメラ起動、盗撮、盗聴することが可能など

2. Permission(許可)を取得しているもの以外の情報取得が可能
 - Android申請時に提出しているもの。iOSはプライバシー設定(Settings>Privacy)でユーザー自身が許可した内容に反して端末情報の取得が可能
 - Simeji内でユーザーが任意で情報送信を許可しているもの以外

3.「Moplus SDK」が使用されている
 (1) アプリケーション内に「Moplus SDK」のソースコードが存在する
 (2) アプリケーション内に「Moplus SDK」が使用されていた場合、その機能を実行可能

依頼内容に合致する脆弱性報告数

0件

その他の脆弱性報告数

15件

対応が必要な脆弱性として認定した件数

9件

引き続きセキュリティ対策を通じて安全性を強化し、安心してご利用いただけるサービスづくりを目指します。
THE ZERO/ONE – Bug Bounty

Last Update:2016.05.19
※掲載されている仕様や画像は現在の仕様とは異なる可能性があります。