Android版Kindleアプリに盗聴につながる脆弱性、アップデートを

KindleアプリにSSLサーバ証明書の検証不備の脆弱性が見つかり、中間者攻撃によって通信内容が盗聴される恐れがある。

» 2014年08月29日 12時45分 公開
[ITmedia]

 情報処理推進機構とJPCERT コーディネーションセンターは8月29日、Amazonが提供するKindleのAndroid版アプリにSSLサーバ証明書の検証不備の脆弱性が見つかったとして、ユーザーにアップデートを行うよう呼び掛けた。

 両機関が提供する脆弱性情報データベースのJapan Vulnerability Notes(JVN)によると、脆弱性はKindle 4.5.0より前のバージョンに存在する。脆弱性を悪用された場合、中間者攻撃によって暗号化されている通信の盗聴などが行われ、攻撃者にユーザー情報が把握されてしまう恐れがある。

 なお、共通脆弱性評価システム(CVSS)での評価値は4.0(最大値は10.0)とされ、攻撃成立には複雑な条件が必要だとしている。

 脆弱性を解決したバージョンはGoogle Playで公開されている

関連キーワード

脆弱性 | Kindle | JVN | Android | Kindleアプリ


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ