IPAセキュリティセンターおよびJPCERT/CCは8月29日、Amazon.comの電子書籍リーダー「Kindle」のAndroidアプリ「Kindle」にSSLサーバ証明書の検証不備の脆弱性があることを発表した。

この脆弱性を悪用されると、中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行われるおそれがある。

Androidアプリ「Kindle」の脆弱性の概要

4.5.0 より前のバージョンのアプリがこの脆弱性の影響を受け、対策方法は最新版にアップデートすること。

現時点でGoogle Playに公開されているAndroidアプリ「Kindle」のバージョンは、8月12日にアップデートされた4.6.0。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、HASHコンサルティングの徳丸浩氏がIPAに報告し、JPCERT/CC が開発者との調整を行ったもの。