IPA(情報処理推進機構)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は7日、ヨドバシカメラが提供するAndroid版アプリ「ヨドバシ」に複数の脆弱性が存在することを、脆弱性対策情報ポータルサイト「JVN」において公表した。 今回公表されたのは、「細工されたウェブページを閲覧することで、任意のJavaのメソッドが実行される脆弱性(JVN#70465405)」「SSLサーバ証明書の検証不備の脆弱性(JVN#29053368)」の2つ。 細工されたウェブページを閲覧することで、Javaのメソッドが実行された場合は、Android端末の情報が窃取されたり、任意のOSコマンドが実行されたりする可能性がある。またSSLサーバ証明書の検証不備を悪用された場合、中間者攻撃(man-in-the-middle attack) による暗号通信の盗聴などが行われる可能性がある。 対象となるバージョンは、1.2.1.0 およびそれ以前。最新版のアプリにアップデートすることで、いずれの脆弱性も解消されるとのこと。
