公開日:2014/12/22 最終更新日:2014/12/22

JVNVU#95399358
AppsGeyser で作成される Android アプリケーションに SSL 証明書の検証不備の脆弱性が作り込まれる問題

概要

AppsGeyser で作成された Android アプリケーションには、SSL サーバ証明書の検証不備の脆弱性が存在します。

影響を受けるシステム

  • AppsGeyser で作成された Android アプリケーション

詳細情報

AppsGeyser は、オンラインで Android アプリケーションを作成するためのツールです。開発者サイトでは、2014年12月22日の時点で 130万を超える Android アプリケーションが AppsGeyser で作成されたと記載されています。AppsGeyser で作成された Android アプリケーションには、HTTPS 通信において SSL サーバ証明書の検証を無効化するコードが含まれています。

想定される影響

AppsGeyser で作成されたアプリケーションを使用した場合、使用している Android デバイスと同一ネットワーク内の第三者によって、当該製品の通信内容を閲覧されたり、改ざんされたりする可能性があります。結果として想定される影響は各製品により異なりますが、認証情報を取得されたり、任意のコードを実行されたりするなどの可能性があります。

対策方法

2014年12月22日現在、対策方法は不明です。

ベンダ情報

ベンダ リンク
Besttoolbars AppsGeyser

参考情報

  1. CERT/CC Vulnerability Note VU#1680209
    AppsGeyser generates Android applications that fail to properly validate SSL certificates
  2. Android Developers
    Security with HTTPS and SSL
  3. CWE-295
    Improper Certificate Validation
  4. CWE-296
    Improper Following of a Certificate's Chain of Trust

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia