| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 3.0 | $0-$5k | 0.00 |
要約
現在、USAA Mobile Banking 7.10.0/7.10.2 on Androidにて、問題があると分類される脆弱性が確認されています。 この脆弱性により影響を受けるのは、コンポーネント【Screen Cache】の未知の機能です。 操作結果として 情報漏えいにつながります。 この脆弱性はCVE-2015-1314として知られています。 さらに、エクスプロイトが利用可能です。 影響を受けるコンポーネントのアップグレードを推奨します。
詳細
現在、USAA Mobile Banking 7.10.0/7.10.2 on Androidにて、問題があると分類される脆弱性が確認されています。 この脆弱性により影響を受けるのは、コンポーネント【Screen Cache】の未知の機能です。 操作結果として 情報漏えいにつながります。 CWEを用いて問題を定義すると、CWE-200 となります。 この脆弱性は 2015年01月22日に David Longeneckerより「Full-Disclosure」の Mailinglist Postにて 「USAA mobile app gives away personal data; fix released」として 紹介されました。 アドバイザリはseclists.orgから入手可能です。
この脆弱性はCVE-2015-1314として知られています。 CVEの割当は2015年01月22日で行われました。 技術的な情報は提供されていません。 この脆弱性の人気度は平均以上です。 さらに、エクスプロイトが利用可能です。 エクスプロイトが公開されており、使用される可能性があります。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは攻撃手法をT1592として定義しています。 勧告では次の点が指摘されています:
By design, the USAA Mobile app for Android allows users to select whether to log out immediately upon task-switching (i.e. being interrupted by a phone call or notification), or to stay logged in for up to 20 minutes. When "Stay logged in" is enabled however, versions prior to 7.10.1 display the last-viewed screen before prompting the user to log back in. If that last screen contained sensitive information, such as account numbers and balances, it becomes possible for one to obtain this information without authorization. Whether it were 20 minutes later, or a week later, launching the USAA mobile app would show personal information briefly before blanking the screen and prompting for a password or PIN.
このエクスプロイトツールは 概念実証 として宣言されています。 エクスプロイトはdnlongen.blogspot.comでダウンロードできます。 この脆弱性は少なくとも20日間、非公開のゼロデイ攻撃として扱われていました。 0-dayの際、アンダーグラウンド市場での想定価格は$5k-$25k前後でした。
バージョン 7.10.1 をアップグレードすることで、この問題に対処できます。 影響を受けるコンポーネントのアップグレードを推奨します。 脆弱性の開示から 前 後に、可能な緩和策が公表されました。 アドバイザリには次の注記が含まれています:
With the 7.10.1 version, instead of seeing a screen full of personal information, the app opens to a benign menu that has no personal information. Upon choosing a menu option that would show private data, the user is prompted to log in before any data is shown. (...) Unfortunately, version 7.12.2 of the Android app appears to have re-introduced this flaw. I have again reported it to USAA and hope for a quick fix.
脆弱性は「SecurityFocus (BID 74202)」等の脆弱性データベースにも文書化されています。
影響なし
- USAA Mobile Banking 7.10.1
製品
タイプ
ベンダー
名前
バージョン
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 3.3VulDB 一時的なメタスコア: 3.0
VulDB ベーススコア: 3.3
VulDB 一時的なスコア: 3.0
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 情報漏えいCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
物理的: 部分的
ローカル: はい
リモート: いいえ
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
著者: David Longenecker
ダウンロード: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
エクスプロイト遅延時間: 🔍
アップグレード: Mobile Banking 7.10.1
タイムライン
2014年12月30日 🔍2015年01月19日 🔍
2015年01月22日 🔍
2015年01月22日 🔍
2015年01月22日 🔍
2015年04月16日 🔍
2015年04月16日 🔍
2015年04月17日 🔍
2017年09月04日 🔍
ソース
勧告: USAA mobile app gives away personal data; fix released調査者: David Longenecker
ステータス: 確認済み
CVE: CVE-2015-1314 (🔍)
GCVE (CVE): GCVE-0-2015-1314
GCVE (VulDB): GCVE-100-74988
SecurityFocus: 74202 - USAA Mobile for Android CVE-2015-1314 Information Disclosure Vulnerability
scip Labs: https://www.scip.ch/en/?labs.20130704
その他: 🔍
エントリ
作成済み: 2015年04月17日 10:25更新済み: 2017年09月04日 09:23
変更: 2015年04月17日 10:25 (67), 2017年09月04日 09:23 (6)
完了: 🔍
Cache ID: 216:929:103
Once again VulDB remains the best source for vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。