Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Android版「JR東日本アプリ」に脆弱性 - SSLサーバ証明書の検証に問題

「JR東日本アプリ」のAndroid版に脆弱性が存在し、悪用されると通信内容を盗聴されるおそれがあることがわかった。修正版が公開されている。

20140618_je_001.jpg
JR東日本アプリ

脆弱性情報のポータルサイトであるJVNによれば、Android向けに提供されている「JR東日本アプリ」において、SSLサーバ証明書の検証処理に脆弱性「CVE-2014-2001」が存在するという。脆弱性を悪用されると「マンインザミドル(MITM)」攻撃を受け、暗号化通信の内容が盗聴されるおそれがある。

今回の脆弱性は、石田暁久氏が情報処理推進機構(IPA)へ報告。修正にあたり、JPCERTコーディネーションセンターが調整を行った。JR東日本では、脆弱性を解消した最新版となる「同1.2.0」を公開、提供を開始している。

(Security NEXT - 2014/06/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

8月修正「Windows Server」の脆弱性狙う悪用コードが公開 - 米政府警告
Android向けショッピングアプリ「ヨドバシ」に脆弱性
「Apache Wicket」に脆弱性 - 情報漏洩のおそれ
「ニトリアプリ」に脆弱性、アプリ経由で外部URLへ誘導されるおそれ
「XenMobile Server」に深刻な脆弱性 - アップデートが公開
MS月例パッチが公開、脆弱性120件を修正 - すでに悪用も
宅配便の不在通知を装うスミッシングに注意 - ダイナミックDNSを悪用
「ZeroShell」の既知脆弱性を狙った攻撃に注意
Apple、macOS向けにセキュリティアップデート
ペネトレーションテストサービスを開始 - BBSec