JVNDB-2014-007349

JVNDB-2014-007349
AppsGeyser で作成される Android アプリケーションに SSL 証明書の検証不備の脆弱性が作り込まれる問題
概要
AppsGeyser で作成された Android アプリケーションには、SSL サーバ証明書の検証不備の脆弱性が存在します。 AppsGeyser は、オンラインで Android アプリケーションを作成するためのツールです。開発者サイトでは、2014年12月22日の時点で 130万を超える Android アプリケーションが AppsGeyser で作成されたと記載されています。AppsGeyser で作成された Android アプリケーションには、HTTPS 通信において SSL サーバ証明書の検証を無効化するコードが含まれています。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム

Besttoolbars AppsGeyser で作成された Android アプリケーション

想定される影響
AppsGeyser で作成されたアプリケーションを使用した場合、使用している Android デバイスと同一ネットワーク内の第三者によって、当該製品の通信内容を閲覧されたり、改ざんされたりする可能性があります。結果として想定される影響は各製品により異なりますが、認証情報を取得されたり、任意のコードを実行されたりするなどの可能性があります。
対策
2014年12月22日現在、対策方法は不明です。
ベンダ情報
Android Android Developers : Security with HTTPS and SSL Besttoolbars Besttoolbars : AppsGeyser
CWEによる脆弱性タイプ一覧 CWEとは?
その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?

参考情報
JVN : JVNVU#95399358 US-CERT Vulnerability Note : VU#1680209
更新履歴
[2014年12月24日] 掲載


公表日	2014/12/19
登録日	2014/12/24
最終更新日	2014/12/24

AppsGeyser で作成される Android アプリケーションに SSL 証明書の検証不備の脆弱性が作り込まれる問題