【活用ガイド】

JVNDB-2014-004043

複数の Android アプリに SSL 証明書を適切に検証しない脆弱性

概要

複数の Android アプリには、SSL 証明書を適切に検証しない脆弱性が存在します。
CERT/CC では、CERT Tapioca を使用して本脆弱性を調査しました。調査手法の詳細は、CERT/CC blog をご確認ください。
また、本脆弱性については、CERT Oracle Secure Coding Standard for Java の DRD19-J. Properly verify server certificate on SSL/TLS も参照してください。

CERT Tapioca
https://www.cert.org/vulnerability-analysis/tools/cert-tapioca.cfm

CERT/CC blog
https://www.cert.org/blogs/certcc/post.cfm?EntryID=204

DRD19-J. Properly verify server certificate on SSL/TLS
https://www.securecoding.cert.org/confluence/x/CQAJC
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 8.3 (危険) [IPA値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


(複数のベンダ)
  • (複数の製品)

本脆弱性の影響を受けるアプリは多数あります。 テストされたアプリ名、手動による脆弱性の確認結果、CVE 番号、CERT VU 番号、その他の情報は Android apps that fail to validate SSL に記載されています。
想定される影響

アプリの動作によって影響は異なりますが、中間者攻撃 (man-in-the-middle attack) によって、HTTPS で保護されるべきネットワークトラフィックを閲覧されたり改ざんされたりする可能性があります。結果として、認証情報を取得されたり任意のコードを実行されたりするなどの可能性があります。
対策

[アップデートする]
開発者が提供する情報や、Android apps that fail to validate SSL の情報をもとに、最新版へアップデートしてください。

Android apps that fail to validate SSL
https://docs.google.com/spreadsheets/d/1t5GXwjw82SyunALVJb2w0zi3FoLRIkfGPc7AMjRF0r4/edit?usp=sharing

[影響を受けるアプリを使用しない]
アプリがアクセスするコンテンツには、他の手段でもアクセスできる場合があります。
たとえば、多くのオンラインバンクサービスでは、専用アプリで提供されているものと同等のサービスをウェブブラウザから使用することが可能です。

[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

 ・信頼できないネットワークを使用しない
ベンダ情報

CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

参考情報

  1. JVN : JVNVU#90369988
  2. IPA 重要なセキュリティ情報 : 【注意喚起】HTTPSで通信するAndroidアプリの開発者はSSLサーバー証明書の検証処理の実装を
  3. CERT Vulnerability Analysis : CERT Tapioca
  4. CERT/CC blog : Finding Android SSL Vulnerabilities with CERT Tapioca
  5. CERT Secure Coding : DRD19-J. Properly verify server certificate on SSL/TLS
  6. US-CERT Vulnerability Note : VU#582497
  7. 関連文書 : Google スプレッドシート (Android apps that fail to validate SSL)
更新履歴

  • [2014年09月05日]
      掲載
    [2014年09月19日]
      参考情報:IPA 重要なセキュリティ情報 (【注意喚起】HTTPSで通信するAndroidアプリの開発者はSSLサーバー証明書の検証処理の実装を) を追加