(An English version is following after this Japanese version)

【概要】

マストドンクライアントアプリ「Tootdon for マストドン(Mastodon)」Android版（ver3.4.1およびそれ以前）において、SSLサーバ証明書の検証不備の脆弱性があり、信用出来ないネットワーク(悪意を持って設置されたWiFiアクセスポイントなど)を使って「Tootdon for マストドン(Mastodon)」 Android版 を利用し特定の暗号通信を行った場合、その内容（アクセストークンやダイレクトトゥート含む）の盗聴や改竄が行われる恐れがありました。この問題は、2019年5月16日にリリースしたバージョン 3.4.2で修正されました。なお、Mastodonのログイン情報（メールアドレスやパスワード）はこの脆弱性の影響を受けません。

 【利用者の皆様へのお願い】

ご利用いただいている「Tootdon for マストドン(Mastodon)」 Android版のバージョンが3.4.1またはそれ以前である場合、下記URLより最新版にアップデートをお願いいたします。

https://play.google.com/store/apps/details?id=club.tootdon.app

 なお、バージョンは［設定］>［バージョン］から確認することができます。

【影響範囲】

Tootdon for マストドン(Mastodon) Android版

- 影響あり 3.4.1およびそれ以前

- 修正バージョン 3.4.2

※ iOS版のTootdonアプリは影響を受けません。

更新履歴

-2019年5月20日 公開

[Overview]

An SSL server certificate validation deficiency was discovered in Tootdon Android version 3.4.1 and earlier. This vulnerability can cause specific encrypted communication sessions (including access token and direct toots) to be intercepted or tampered in an untrusted network (Such as Wi-Fi access points installed with malicious intent). This issue was fixed in version 3.4.2 released on May 16, 2019. Mastodon login information (email and password) are not affected by this vulnerability.

[Request to All Users]

If the Tootdon Android version you are using is 3.4.1 or earlier, please update to the latest version from the following URL.

https://play.google.com/store/apps/details?id=club.tootdon.app

You can check your Tootdon version from "Settings" -> "Version".

[Affected Versions]

Tootdon for Android

- Version 3.4.1 and earlier

- Fixed in version 3.4.2

Note: Tootdon for iOS is not affected by this vulnerability.