ニュース

Androidアプリ「日テレニュース24」に脆弱性、通信内容の取得や改ざんが行われる可能性

 日本テレビ放送網株式会社が提供するAndroidアプリ「日テレニュース24」に脆弱性が存在するとして、独立行政法人情報処理推進機構(IPA)セキュリティセンターおよび一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が情報を公表した。

 バージョン3.0.0より前のアプリにおいて、SSLサーバー証明書の検証不備の脆弱性(CVE-2019-6032/CWE-295)が存在する。

 脆弱性が悪用されることで、中間者攻撃(man-in-the-middle attack)による通信内容の取得や改ざんなどが行なわれる可能性がある。

 共通脆弱性評価システム「CVSS v3」のスコアは4.8。対策として、最新バージョン(3.0.0)へアップデートするよう呼び掛けている。