|
[English]
|
JVNDB-2025-000108
|
スマートフォンアプリ「FOD」 におけるハードコードされた暗号鍵使用の脆弱性
|
|
株式会社フジテレビジョンが提供するスマートフォンアプリ「FOD」には、次の脆弱性が存在します。- ハードコードされた暗号鍵の使用(CWE-321)- CVE-2025-64304
|
|
|
CVSS v3 による深刻度
基本値: 4.0 (警告) [IPA値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
CVSS v4 による深刻度
基本値: 5.1 (警告) [IPA値]
- 攻撃元区分 (AV): ローカル
- 攻撃の複雑さ (AC): 低
- 攻撃要件 (AT): なし
- 攻撃に必要な特権レベル (PR): 不要
- 利用者の関与 (UI): なし
脆弱なシステムへの影響
- 機密性の影響 (VC): 低
- 完全性の影響 (VI): なし
- 可用性への影響 (VA): なし
後続システムへの影響
- 機密性への影響 (SC): なし
- 完全性への影響 (SI): なし
- 可用性への影響 (SA): なし
|
|
|
株式会社フジテレビジョン
- Androidアプリ「FOD」 5.2.0より前のバージョン
- iOSアプリ「FOD」 5.2.0より前のバージョン
|
|
|
当該製品にハードコードされた暗号鍵を第三者に取得される可能性があります。
開発者によると、これらの鍵を取得されたとしても影響は極めて限定的であり、通常の使用形態において、ユーザーのなりすましなどの攻撃はほぼ不可能であるとのことです。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は暗号鍵を内包しない次のバージョンをリリースしています。- Androidアプリ「FOD」 5.2.0
- iOSアプリ「FOD」 5.2.0
なお、開発者によると- 本件の影響を受けるバージョンを使用している場合、起動時に即時アップデートを強制される
- 当該暗号鍵は2025年11月17日に無効化されており、当該暗号鍵を使用した通信や処理は既に不可能となっている
とのことです。
|
|
株式会社フジテレビジョン
|
|
- その他(CWE-Other) [IPA評価]
|
|
- CVE-2025-64304
|
|
- JVN : JVN#63368617
|
|
|
