Android版「ヨドバシ」アプリに、複数の脆弱性

ブロードバンドセキュリティ

注目記事

2015.8.10（月）11:24

JVN#70465405の脆弱性分析結果(CVSS Base Metrics) 全 2 枚

　IPA（情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は7日、ヨドバシカメラが提供するAndroid版アプリ「ヨドバシ」に複数の脆弱性が存在することを、脆弱性対策情報ポータルサイト「JVN」において公表した。

　今回公表されたのは、「細工されたウェブページを閲覧することで、任意のJavaのメソッドが実行される脆弱性（JVN#70465405）」「SSLサーバ証明書の検証不備の脆弱性（JVN#29053368）」の2つ。

　細工されたウェブページを閲覧することで、Javaのメソッドが実行された場合は、Android端末の情報が窃取されたり、任意のOSコマンドが実行されたりする可能性がある。またSSLサーバ証明書の検証不備を悪用された場合、中間者攻撃（man-in-the-middle attack）による暗号通信の盗聴などが行われる可能性がある。

　対象となるバージョンは、1.2.1.0 およびそれ以前。最新版のアプリにアップデートすることで、いずれの脆弱性も解消されるとのこと。

《冨岡晶》