複数金融機関が採用するネットバンクアプリに脆弱性

NTTデータが開発し、複数の金融機関が採用しているAndroid向けアプリ「MyPallete」に脆弱性が含まれていることがわかった。

同アプリは、残高照会をはじめ、入出金の通知や明細の確認、ペイジーによる税金の支払いなどの機能を提供しているオンラインバンキング向けのアプリ。複数の金融機関が採用している。

脆弱性情報のポータルサイトであるJVNによれば、同アプリにおいてサーバ証明書の検証やホスト名の検証における脆弱性「CVE-2020-5523」が明らかとなったもの。

影響を受けるのはAndroid版のみで、iOS版に脆弱性は含まれていないとしている。

通信経路において中間者攻撃により脆弱性を悪用されると、通信内容が盗聴されたり、改ざんされるおそれがある。ただし、パスワードや暗証番号などの認証情報は同脆弱性の影響を受けないとしている。

（Security NEXT - 2020/01/29 ） ツイート

PR

関連記事

「PyTorch Lightning」に不正コード - 認証情報窃取のおそれ
「Spring Cloud Config」にパストラバーサルなど複数脆弱性
「Apache HTTP Server」に複数脆弱性 - 更新を呼びかけ
「Chrome 148」が公開、脆弱性127件を修正 - 「クリティカル」も複数
Palo Alto Networks製「PAN-OS」に深刻な脆弱性 - すでに悪用も
Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
米当局、悪用リストに脆弱性3件を追加 - 最短で5月3日対応期限
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
「cPanel」に深刻な脆弱性、悪用も - 修正や侵害有無の確認を
「NVIDIA FLARE SDK」に複数の脆弱性 - 認証回避やコード実行のおそれ