Yahoo！ショッピングアプリ＆ヤフオクアプリに、SSLサーバ証明書の検証不備の脆弱性

ブロードバンドセキュリティ

注目記事

2013.8.19（月）16:00

「Yahoo!ショッピング（ヤフー・ショッピング）」アプリ（Google Play説明ページ）全 2 枚

　IPA（情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は19日、ヤフーが提供するアプリ2種に、脆弱性があることを、脆弱性対策情報ポータルサイト「JVN」において公表した。

　今回公開された「JVN＃75084836」「JVN＃68156832」によると、ネットショッピングアプリ「Yahoo！ショッピング」Android版、およびネットオークションアプリ「ヤフオク！」に、SSLサーバ証明書の検証不備の脆弱性が存在するとのこと。そのため中間者攻撃（man-in-the-middle attack）により、暗号通信の盗聴などが行われる可能性があるという。

　該当するのは、Android版Yahoo！ショッピングver.1.4およびそれ以前。ヤフオク！ ver.4.3.0およびそれ以前（iOS版、Android版）。いずれも最新版にアップデートすることで対応可能。

《冨岡晶》