「Android」における SSL 証明書の表示に関する脆弱性

IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は29日、Android OS 2.2より前のバージョンにおけるSSL証明書の表示に関する脆弱性をJVN(Japan Vulnerability Notes)において公表した。

脆弱性はAndroid OS 2.2より前のバージョンとなり、2.2では脆弱性の対策がなされている。該当するOSでは、外部サイトのコンテンツを呼び込む際のSSL証明書の表示において、外部サイトのSSL証明書を表示してしまう脆弱性が存在し、これによりユーザーがフィッシング詐欺などの被害を受ける可能性があるとしている。

対策として、モバイル端末開発者はGoogleが提供する情報をもとにアップデートを行うこと、ユーザーはモバイル端末開発者が公表する情報を確認してほしいとしている。