概要
EquityPandit 1.0 Android アプリケーション において、ユーザー の パスワード が ADB logcat に 平文 で 出力 される 情報漏洩 の 脆弱性 が 存在 します。
CWE-612 に 分類 される この 問題 は、デバッグ ログ に 機密 情報 が 記録 される こと に 起因 します。端末 に 物理 アクセス できる 攻撃者 や、ADB 接続 が 有効 な 環境 において、logcat コマンド を 実行 する こと で ユーザー の 認証 情報 を 取得 できる 可能性 が あります。
Android の logcat は アプリケーション が 出力 する ログ メッセージ を 収集 する システム で あり、開発者 が デバッグ 目的 で 使用 します。しかし、本番 環境 で 機密 情報 を ログ に 出力 する こと は 重大 な セキュリティ リスク と なります。特に USB デバッグ が 有効 な 端末 で は、ADB 経由 で 第三者 が ログ を 閲覧 できる ため、パスワード の 平文 出力 は 認証 情報 の 漏洩 に 直結 します。
また、同じ 端末 上 の 他 の アプリケーション が READ_LOGS 権限 を 持つ 場合 に も、ログ 内容 を 読み取る こと が 可能 な ため、マルウェア に よる 認証 情報 の 窃取 リスク も あります。
EquityPandit は 金融 関連 の アプリケーション で あるため、パスワード が 漏洩 した 場合、不正 取引 や 口座 への 不正 アクセス など 深刻 な 金銭的 被害 に つながる 可能性 が あります。利用者 は 速やかに 対策 を 講じる 必要 が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.5 (High) |
| 攻撃元 | ネットワーク |
| 攻撃条件 の 複雑さ | 低 |
| 必要 な 権限 | 不要 |
| 影響 範囲 | 機密性 に 影響 |
| CWE | CWE-612 (情報漏洩) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| EquityPandit | EquityPandit | 1.0 |
修正 バージョン と 回避策
- 修正 バージョン: 未公表
- 暫定 回避策: ADB デバッグ(USB デバッグ)を 無効 に する。端末 の 物理 アクセス を 制限 する こと を 推奨 します。また パスワード の 定期的 な 変更 や、可能 で あれば 代替 アプリ へ の 移行 を 検討 してください
関連 リンク
データソース: NVD (NIST) AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。