AndroidにSSL証明書を表示してしまう脆弱性、フィッシング詐欺などの恐れ

[ITmedia]

　情報処理推進機構とJPCERT コーディネーションセンターは7月29日、Android OSに外部サイトのSSL証明書を表示してしまう脆弱性が見つかったと発表した。これを受けて、パナソニックが影響を受ける製品のユーザーに対応を呼び掛けている。

　脆弱性は、外部サイトのコンテンツを読み込むWebサイトのSSL証明書を表示する際に、外部サイトのSSL証明書を表示してしまうというもの。Android OS 2.1以前に存在する。脆弱性を悪用するWebサイトをユーザーが閲覧した場合、安全なWebサイトにアクセスしていると誤認してフィッシング詐欺などの被害を受ける可能性がある。

　パナソニックは、携帯メディアプレーヤーの「SV-MV100」「SV-ME970」がこの脆弱性の影響を受けることを明らかにした。SV-ME970ではファームウェアのアップデートで脆弱性を解決できるとしている。SV-MV100については、29日正午現在では対応準備中という。