公開日:2022/10/26 最終更新日:2022/10/26

JVNVU#96850776
AliveCor製KardiaMobileにおける複数の脆弱性

概要

AliveCor社が提供するKardiaMobileには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2022-40703

  • Androidアプリ「Kardia」Version 5.17.1-754993421およびそれ以前
CVE-2022-41627
  • KardiaMobile IoT デバイス すべてのバージョン

詳細情報

AliveCor社が提供するKardiaMobileは、スマートフォンと組み合わせて利用する個人用心電図(EKG)デバイスです。KardiaMobileには、次の複数の脆弱性が存在します。

  • 認証回避 (CWE-302) - CVE-2022-40703
  • 重要なデータに対する暗号化の欠如 (CWE-311) - CVE-2022-41627

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 当該アプリがインストールされたデバイスに物理的にアクセス可能な第三者によって、アプリ内の情報を閲覧されたり、改ざんされたりする - CVE-2022-40703
  • 当該製品のデバイス間通信で使用する周波数に干渉可能な第三者によって、心電図(EKG)の計測結果を読み取られたり、サービス運用妨害(DoS)を引き起こされたりする - CVE-2022-41627

対策方法

CVE-2022-40703
ワークアラウンドを実施する
開発者は、当該アプリがインストールされたデバイスに対し、適切な認証(パスコード(PIN)や生体認証)を設定することを推奨しています。

CVE-2022-41627
2022年10月25日現在、対策方法はありません。
なお開発者は、本脆弱性の悪用可能性は低いと述べているとのことです。

ベンダ情報

ベンダ リンク
AliveCor KardiaMobile EKG Monitor - Instant EKG on Your Phone

参考情報

  1. ICS Medical Advisory (ICSMA-22-298-01)
    AliveCor KardiaMobile

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia