トップ> 活躍する電大人> 情報通信工学科の中村さんが8つの銀行のAndroidアプリの脆弱性を発見

情報通信工学科の中村さんが8つの銀行のAndroidアプリの脆弱性を発見

2020.02.05

情報通信工学科の中村大さんは、以下の8つの各銀行のAndroidアプリの証明書検証不備・ホスト名検証不備の脆弱性を発見し情報処理推進機構(IPA)に報告しました。
(足利銀行、池田泉州銀行、四国銀行、東北銀行、長野銀行、七十七銀行、北海道銀行、北陸銀行)
このAndroidアプリの元となった「MyPallete」を提供する株式会社NTTデータによる脆弱性の修正が完了し、CVE番号、JVN番号とともに公表されました。

発見者
工学部 情報通信工学科 中村大さん(4年)
所属研究室
暗号方式・暗号プロトコル研究室齊藤泰一教授
脆弱性番号
CVE-2020-5523,JVN#28845872
脆弱性対策情報データベース
JVN
JVN iPedia
CVE
参考
【ScanNetSecurity】金融機関が提供するアプリ「MyPallete」に盗聴などが行われる脆弱性(JVN)

【Yahoo!ニュース】同記事

*脆弱性とは
コンピューターネットワークにおける安全上の欠陥。オペレーティングシステムやアプリケーションソフトのバグ、開発者が予期しなかった利用方法などにより、悪意のある第三者によってコンピューターウイルスに感染させられたり、不正アクセスの被害にあったりするおそれがあること。

*脆弱性番号とは
脆弱性を発見し報告すると脆弱性番号(CVE番号、JVN番号)が割り振られ、その脆弱性が修正されると発見者名とともに公表されます。脆弱性番号は半永久的に残る発見者の業績になります。

また、1月28日から31日に高知で開催された「2020年暗号と情報セキュリティシンポジウム(SCIS2020)」において、今回公開された脆弱性を含む成果が以下の論文として、発表されました。

「日本におけるAndroidアプリのSSL証明書検証不備脆弱性の調査」
池田康平、中村大、德生紳之介、中原黎、白井優武、小林晴貴、齊藤泰一


https://www.iwsec.org/scis/2020/program.html

「SCIS2020」にて発表を行った研究室のメンバー

中村大さん

一覧を見る
[ 本学学生並びに教職員の皆様へ ] 電大人の活躍をお寄せください

トップ> 活躍する電大人> 情報通信工学科の中村さんが8つの銀行のAndroidアプリの脆弱性を発見