NVD脆弱性詳細

CVE-2020-5523

概要	Android App 'MyPallete' and some of the Android banking applications based on 'MyPallete' do not verify X.509 certificates from servers, and also do not properly validate certificates with host-mismatch, which allows man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate.
公表日	2020年1月28日15:15
登録日	2021年1月26日11:59
最終更新日	2024年11月21日14:34

CVSS3.1 : HIGH
スコア	7.4
ベクター	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	高
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	なし

CVSS2.0 : MEDIUM
スコア	5.8
ベクター	AV:N/AC:M/Au:N/C:P/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	なし
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:nttdata:mypallete:-:::::android::
cpe:2.3:a:ashikagabank:ashigin::::::android::*		1.0.4
cpe:2.3:a:sihd-bk:ikeda_senshu_bank::::::android::*		3.0.4
cpe:2.3:a:shikokubank:shikoku_bank::::::android::*		2.0.1
cpe:2.3:a:tohoku-bank:tougin::::::android::*		1.0.1
cpe:2.3:a:naganobank:nagagin::::::android::*		1.0.1
cpe:2.3:a:77bank:77_bank::::::android::*		2.0.1
cpe:2.3:a:hokkaidobank:dogin::::::android::*		3.0.1
cpe:2.3:a:hokugin:hokuriku_bank_portal::::::android::*		2.0.1

関連情報、対策とツール

No	URL	タグ
1	http://jvn.jp/en/jp/JVN28845872/index.html	Third Party Advisory
2	http://jvn.jp/en/jp/JVN28845872/index.html	Third Party Advisory
3	http://www.dokodemobank.ne.jp/info_20200128_bankingapp.html	Third Party Advisory
4	http://www.dokodemobank.ne.jp/info_20200128_bankingapp.html	Third Party Advisory
5	https://www.77bank.co.jp/pdf/oshirase/20012801_appvulnerability.pdf	Third Party Advisory
6	https://www.77bank.co.jp/pdf/oshirase/20012801_appvulnerability.pdf	Third Party Advisory
7	https://www.ashikagabank.co.jp/appbanking/pdf/oshirase.pdf	Third Party Advisory
8	https://www.ashikagabank.co.jp/appbanking/pdf/oshirase.pdf	Third Party Advisory
9	https://www.hokkaidobank.co.jp/common/dat/2020/0120/15795047141946146699.pdf	Third Party Advisory
10	https://www.hokkaidobank.co.jp/common/dat/2020/0120/15795047141946146699.pdf	Third Party Advisory
11	https://www.hokugin.co.jp/info/archives/personal/2020/1913.html	Third Party Advisory
12	https://www.hokugin.co.jp/info/archives/personal/2020/1913.html	Third Party Advisory
13	https://www.naganobank.co.jp/soshiki/2/app-ssl.html	Third Party Advisory
14	https://www.naganobank.co.jp/soshiki/2/app-ssl.html	Third Party Advisory
15	https://www.shikokubank.co.jp/info/apps20200128.html	Third Party Advisory
16	https://www.shikokubank.co.jp/info/apps20200128.html	Third Party Advisory
17	https://www.sihd-bk.jp/common_v2/pdf/20200127.pdf	Third Party Advisory
18	https://www.sihd-bk.jp/common_v2/pdf/20200127.pdf	Third Party Advisory
19	https://www.tohoku-bank.co.jp/news/topics/200128_applissl.html	Third Party Advisory
20	https://www.tohoku-bank.co.jp/news/topics/200128_applissl.html	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-295	不正な証明書検証	https://cwe.mitre.org/data/definitions/295.html

JVN脆弱性情報

Android アプリ「MyPallete」におけるサーバ証明書検証不備の脆弱性

タイトル	Android アプリ「MyPallete」におけるサーバ証明書検証不備の脆弱性
概要	株式会社NTTデータが提供する Android アプリ「MyPallete」は、複数の金融機関において、顧客向けに提供する Android アプリとして使われています。「MyPallete」には、サーバ証明書の検証不備の脆弱性 (CWE-295) および証明書検証におけるホスト名検証不備の脆弱性 (CWE-297) が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 東京電機大学工学部情報通信工学科暗号方式・暗号プロトコル研究室中村大氏
想定される影響	中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行なわれる可能性があります。
対策	[アップデートする] 開発者や各金融機関が提供する情報をもとに、最新版へアップデートしてください。
公表日	2020年1月28日0:00
登録日	2020年1月28日14:11
最終更新日	2020年1月28日14:11

影響を受けるシステム

（複数のベンダ）

（複数の製品）「MyPallete」を使用して作成されている一部の Android アプリ

株式会社エヌ・ティ・ティ・データ

MyPallete Android アプリ

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-5523	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5523

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
株式会社エヌ・ティ・ティ・データ
1	株式会社NTTデータ：株式会社NTTデータの告知ページ	http://www.dokodemobank.ne.jp/info_20200128_bankingapp.html
（関連製品）
2	株式会社七十七銀行：株式会社七十七銀行の告知ページ	https://www.77bank.co.jp/pdf/oshirase/20012801_appvulnerability.pdf
3	株式会社北海道銀行：株式会社北海道銀行の告知ページ	https://www.hokkaidobank.co.jp/common/dat/2020/0120/15795047141946146699.pdf
4	株式会社北陸銀行：株式会社北陸銀行の告知ページ	https://www.hokugin.co.jp/info/archives/personal/2020/1913.html
5	株式会社四国銀行：株式会社四国銀行の告知ページ	https://www.shikokubank.co.jp/info/apps20200128.html
6	株式会社東北銀行：株式会社東北銀行の告知ページ	https://www.tohoku-bank.co.jp/news/topics/200128_applissl.html
7	株式会社池田泉州銀行：株式会社池田泉州銀行の告知ページ	https://www.sihd-bk.jp/common_v2/pdf/20200127.pdf
8	株式会社足利銀行：株式会社足利銀行の告知ページ	https://www.ashikagabank.co.jp/appbanking/pdf/oshirase.pdf
9	株式会社長野銀行：株式会社長野銀行の告知ページ	https://www.naganobank.co.jp/soshiki/2/app-ssl.html

その他

No	名前	URL
JVN
1	JVN#28845872	https://jvn.jp/jp/JVN28845872/index.html

変更履歴

No	変更内容	変更日
1	[2020年01月28日] 掲載	2020年1月24日12:26