본문 바로가기

malware

JVN#16263849 Android 版アプリ「出前館」における SSL サーバ証明書の検証不備の脆弱性

728x90

JVN # 16263849 
Android 용 어플리 「아웃 포토」의 SSL 서버 증명서의 검증 미비 취약점

개요

Android 용 어플리 「아웃 관」에는 SSL 서버 증명서의 검증 미비 취약점이 존재합니다.

영향을받는 시스템

  • Android 용 어플리 「아웃 포토」ver.2.1.0 및 이전

추가 정보

Android 용 어플리 「아웃 관」에는 SSL 서버 증명서의 검증 미비 취약점이 존재합니다.

예상되는 영향

중간자 공격 (man-in-the-middle attack)에 의한 암호화 통신의 도청 등이 수행 될 수 있습니다.

대책 방법

업데이트
개발자가 제공하는 정보를 바탕으로 최신 버전으로 업데이트하십시오.

업체 정보

공급 업체링크
夢の街創造委員会株式会社아웃 포토 - Google Play의 Android 애플리케이션

추천 정보

    JPCERT / CC에서 추가 정보

    JPCERT / CC 의한 취약성 분석 결과

    2014.03.17의 취약성 분석 결과

    평가 척도공격 성립 조건평가 값
    공격 경로Ethernet 등 로컬 세그먼트 (Bluetooth 또는 802.11 등 포함)에서 공격이 가능
    • 중 - 고
    •  
    인증 수준익명 또는 인증없이 공격이 가능
    •  
    공격 성립에 필요한 사용자 참여사용자가 아무것도하지 않아도 취약점을 공격 할 수있는
    •  
    공격 난이도전문 지식과 운 (조건이 갖추어지는 확률은 중간 정도)이 필요
    • 저 - 중
    •  

    각 항목에 대한 자세한 설명

    분석 결과의 댓글

    무선 LAN 액세스 포인트를 설치 한 제삼자에 의해 가로 채기 공격 (man-in-the-middle attack)을하는 것을 상정하고 있습니다.

    감사

    이 취약점 정보는 정보 보안 조기 경보 제휴에 따라 다음의 것이 IPA에보고하고 JPCERT / CC가 개발자에게 조정을 실시했습니다. 
    발표자 : 크리스 씨, 매트 씨

    관련 문서

    JPCERT 긴급보고
    JPCERT REPORT
    CERT Advisory
    CPNI Advisory
    TRnotes
    CVECVE-2014-1976
    JVN iPediaJVNDB-2014-000030
    728x90