Preview

WEBSCANで検出できる脆弱性

スマートフォンアプリ「ShoreTel Mobility Client」に SSL サーバ証明書の検証不備の脆弱性

危険レベル:
危険スコア: 4.8
2017年02月15日

スマートフォンアプリ「ShoreTel Mobility Client」は、HTTPS 通信で使用される SSL サーバ証明書を正しく検証しないため、中間者攻撃 (man-in-the-middle attack) が行われる可能性があります。

想定される影響

当該アプリが動作する iOS デバイスと同一のネットワークに接続している攻撃者によって、HTTPS 通信の内容を盗聴されたり改ざんされたりする可能性があります。結果として、サーバにログインする際の認証情報など、機微な情報を取得される可能性があります。

対策

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は iOS アプリにおいては本脆弱性を修正した version 9.1.5.104 をリリースしています。 ただし、2017年2月8日現在、Android アプリの修正版は リリースされていないようです。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。   * 公共 Wi-Fi を含め、信頼できないネットワークに接続しない

CVSS による深刻度

攻撃元区分隣接
攻撃条件の複雑さ
攻撃前の認証要否不要
機密性への影響(C)部分的
完全性への影響(I)部分的
可用性への影響(A)なし

関連タグ