JVNDB-2015-006201
|
TaxiHail に複数の脆弱性
|
|
Mobile Knowledge が提供する HaxiHail には、情報漏えいとセンシティブなデータを暗号化しない問題が存在します。
Mobile Knowledge が提供する TaxiHail は、タクシーの "利用者が iOS、Android またはウェブからリアルタイムに予約およびその管理ができ、ピーク時の電話の混雑を緩和することができる" アプリケーションフレームワークです。TaxiHail には、次の脆弱性が報告されています:
不適切なデフォルトパーミッション (CWE-276)
TaxiHail はユーザの GPS 情報をログに出力します。ログファイルのパーミッションは適切でないため、他のアプリケーションがログに含まれた位置情報を取得することが可能となります。
CWE-276: Incorrect Default Permissions
http://cwe.mitre.org/data/definitions/276.html
センシティブなデータを暗号化しない問題 (CWE-311)
TaxiHail はサーバとの通信を暗号化しません。
CWE-311: Missing Encryption of Sensitive Data
http://cwe.mitre.org/data/definitions/311.html
タクシー会社のサービスが、TaxiHail をカスタマイズして使用している可能性があります。それはつまり、複数の iOS 向け、Android 向けアプリにこの脆弱性が受け継がれていることを意味しています。報告者によると、100 を超えるアプリが TaxiHail から作られているとのことです。
|
|
CVSS v2 による深刻度
基本値: 7.5 (危険) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
Mobile Knowledge Systems Inc.
- TaxiHail 3.1.26 より前のバージョン
|
|
|
遠隔の攻撃者によって、ユーザのプライベートな情報を取得されたり、アプリの通信内容を傍受されたりする可能性があります。
|
|
[アップデートする]
Mobile Knowledge は TaxiHail version 3.1.26 (Android 版および iOS 版) で本脆弱性を修正しており、TaxiHail をもとに作成されたアプリも同様に修正されています。
TaxiHail の旧バージョンでは SSL 証明書を適切に検証していないことも報告されています。報告者によると、この問題は TaxiHail の最新版では修正されているとのことです。現時点では、どのバージョンでこの問題の修正が行われたのかは判明していません。
報告
http://jvn.jp/vu/JVNVU90369988
可能な限り早く、修正を行ったバージョンにアプリをアップデートすることを推奨します。
|
|
Mobile Knowledge Systems Inc.
- Mobile Knowledge Systems Inc. : TaxiHail
|
|
- その他(CWE-Other) [IPA評価]
|
|
|
|
- JVN : JVNVU#91109359
- US-CERT Vulnerability Note : VU#439016
|
|
|
