【活用ガイド】

[English]

JVNDB-2024-000123

複数のFCNT製Android端末における認証回避の脆弱性

概要

複数のFCNT製Android端末には、端末内の任意のアプリや通知などをユーザが非表示に設定できる「プライバシーモード」などのセキュリティ機能が提供されています。
これらのセキュリティ機能の設定画面を表示するには本来認証が必要ですが、特定の条件下において認証なしで設定画面の表示および設定変更が可能となる、認証回避(CWE-306)の脆弱性が存在します。

CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 3.1 (注意) [IPA値]
  • 攻撃元区分: 物理
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): なし
影響を受けるシステム


KDDI
  • arrows  We FCG01 ビルド番号 V68RK50Aより前のバージョン
ソフトバンク株式会社
  • arrows We ビルド番号 V71RS50Aより前のバージョン
株式会社NTTドコモ
  • arrows N F-51C ビルド番号 V51R057Cより前のバージョン
  • arrows We F-51B ビルド番号 V70RD50Aより前のバージョン

想定される影響

ユーザが画面ロックを解除した端末を攻撃者が直接操作可能な場合、セキュリティ機能の設定を認証なしで閲覧されたり、変更されたりする可能性があります。
また、攻撃者によってセキュリティ機能の設定が変更された場合、ユーザが非表示にしていた端末内の特定のアプリを表示されたり、起動される可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版にアップデートしてください。
ベンダ情報

FCNT 合同会社 KDDI ソフトバンク株式会社 株式会社NTTドコモ
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2024-53701
参考情報

  1. JVN : JVN#43845108
更新履歴

  • [2024年11月29日]
      掲載

公表日2024/11/29
登録日2024/11/29
最終更新日2024/11/29