Android アプリ「MyPallete」にサーバ証明書検証不備の脆弱性

最終更新日: 2020/02/05

情報源

Japan Vulnerability Notes JVN#28845872
Android アプリ「MyPallete」におけるサーバ証明書検証不備の脆弱性
https://jvn.jp/jp/JVN28845872/

概要

株式会社 NTTデータが提供する Android アプリ「MyPallete」には、サーバ証明書の検証不備の脆弱性があります。結果として、遠隔の第三者が中間者攻撃によって暗号通信の盗聴を行うなどの可能性があります。
対象となる製品は次のとおりです。

– Android アプリ「MyPallete」
– 「MyPallete」を使用して作成されている一部の金融機関の Android アプリ

この問題は、該当する製品を株式会社 NTTデータや各金融機関が提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社 NTTデータや各金融機関が提供する情報を参照してください。

関連文書 (日本語)

株式会社 NTTデータ
Androidアプリ「My Pallete」におけるSSL通信時の脆弱性に関するお知らせ
http://www.dokodemobank.ne.jp/info_20200128_bankingapp.html

株式会社足利銀行

あしぎんアプリにおけるSSL通信時の脆弱性に関するお知らせ
https://www.ashikagabank.co.jp/appbanking/pdf/oshirase.pdf

株式会社池田泉州銀行

当行バンキングアプリにおける脆弱性に関するお知らせ
https://www.sihd-bk.jp/common_v2/pdf/20200127.pdf

株式会社四国銀行

四国銀行アプリにおけるSSL通信時の複数の脆弱性に関するお知らせ
https://www.shikokubank.co.jp/info/apps20200128.html

株式会社東北銀行

とうぎんアプリにおけるSSL通信時の複数の脆弱性に関するお知らせ
https://www.tohoku-bank.co.jp/news/topics/200128_applissl.html

株式会社長野銀行

ながぎんアプリにおけるSSL通信時の複数の脆弱性に関するお知らせ
https://www.naganobank.co.jp/soshiki/2/app-ssl.html

株式会社七十七銀行

【重要】七十七銀行アプリにおける脆弱性に関するお知らせ
https://www.77bank.co.jp/pdf/oshirase/20012801_appvulnerability.pdf

株式会社北海道銀行

『どうぎんアプリ』における SSL 通信時の脆弱性の修正に関するお知らせ
https://www.hokkaidobank.co.jp/common/dat/2020/0120/15795047141946146699.pdf

株式会社北陸銀行

『北陸銀行ポータルアプリ』におけるSSL通信時の脆弱性の修正に関するお知らせ
https://www.hokugin.co.jp/info/archives/personal/2020/1913.html

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-02-05」
https://www.jpcert.or.jp/wr/2020/wr200501.html