公開日:2014/09/04 最終更新日:2014/09/05

JVNVU#90369988
複数の Android アプリに SSL 証明書を適切に検証しない脆弱性

概要

複数の Android アプリには、SSL 証明書を適切に検証しない脆弱性が存在します。

影響を受けるシステム

本脆弱性の影響を受けるアプリは多数あります。
テストされたアプリ名、手動による脆弱性の確認結果、CVE 番号、CERT VU 番号、その他の情報は Android apps that fail to validate SSL に記載されています。

詳細情報

複数の Android アプリには、SSL 証明書を適切に検証しない脆弱性が存在します。
CERT/CC では、CERT Tapioca を使用して本脆弱性を調査しました。調査手法の詳細は、CERT/CC blog をご確認ください。
また、本脆弱性については、CERT Oracle Secure Coding Standard for Java の DRD19-J. Properly verify server certificate on SSL/TLS も参照してください。

想定される影響

アプリの動作によって影響は異なりますが、中間者攻撃 (man-in-the-middle attack) によって、HTTPS で保護されるべきネットワークトラフィックを閲覧されたり改ざんされたりする可能性があります。結果として、認証情報を取得されたり任意のコードを実行されたりするなどの可能性があります。

対策方法

アップデートする
開発者が提供する情報や、Android apps that fail to validate SSL の情報をもとに、最新版へアップデートしてください。

影響を受けるアプリを使用しない
アプリがアクセスするコンテンツには、他の手段でもアクセスできる場合があります。
たとえば、多くのオンラインバンクサービスでは、専用アプリで提供されているものと同等のサービスをウェブブラウザから使用することが可能です。

ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

  • 信頼できないネットワークを使用しない

ベンダ情報

参考情報

  1. CERT/CC Vulnerability Note VU#582497
    Multiple Android applications fail to properly validate SSL certificates
  2. Google スプレッドシート
    Android apps that fail to validate SSL
  3. CERT/CC blog
    Finding Android SSL Vulnerabilities with CERT Tapioca
  4. The CERT Oracle Secure Coding Standard for Java
    DRD19-J. Properly verify server certificate on SSL/TLS
  5. Vulnerability Analysis Tools
    CERT Tapioca

JPCERT/CCからの補足情報

本脆弱性と同一の問題として、次のアドバイザリを公表しています。

JVN#17637243 Android 版アプリ Kindle における SSL サーバ証明書の検証不備の脆弱性
JVN#27702217 Android 版 Ameba における SSL サーバ証明書の検証不備の脆弱性
JVN#72950786 Android 版 Outlook.com における SSL サーバ証明書の検証不備の脆弱性
JVN#10603428 Android 版アプリ「JR東日本アプリ」における SSL サーバ証明書の検証不備の脆弱性
JVN#16263849 Android 版アプリ「出前館」における SSL サーバ証明書の検証不備の脆弱性
JVN#48810179 Android 版アプリ「デニーズ」における SSL サーバ証明書の検証不備の脆弱性
JVN#97810280 KDrive個人版 PCクライアントソフトにおける SSL サーバ証明書の検証不備の脆弱性
JVN#75084836 Android 版 Yahoo!ショッピングにおける SSL サーバ証明書の検証不備の脆弱性
JVN#68156832 ヤフオク! における SSL サーバ証明書の検証不備の脆弱性
JVN#39218538 Android 版 ピザハット公式アプリ 宅配ピザのPizzaHut における SSL サーバ証明書の検証不備の脆弱性
JVN#85812843 FileMaker Pro における SSL サーバ証明書の検証不備の脆弱性
JVN#39707339 Opera における SSL サーバ証明書の検証不備の脆弱性
JVN#82029095 spモードメールアプリにおける SSL サーバ証明書の検証不備の脆弱性

JPCERT/CCによる脆弱性分析結果

2014.09.04における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) 隣接ネットワークから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に必要な条件はない
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 全ての情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが全面的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用が全面的に阻害される

Base Score:8.3

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2014/09/05
参考情報の誤植を修正しました。