Mobile Knowledge が提供する HaxiHail には、情報漏えいとセンシティブなデータを暗号化しない問題が存在します。 Mobile Knowledge が提供する TaxiHail は、タクシーの "利用者が iOS、Android またはウェブからリアルタイムに予約およびその管理ができ、ピーク時の電話の混雑を緩和することができる" アプリケーションフレームワークです。TaxiHail には、次の脆弱性が報告されています： 不適切なデフォルトパーミッション (CWE-276) TaxiHail はユーザの GPS 情報をログに出力します。ログファイルのパーミッションは適切でないため、他のアプリケーションがログに含まれた位置情報を取得することが可能となります。 CWE-276: Incorrect Default Permissions http://cwe.mitre.org/data/definitions/276.html センシティブなデータを暗号化しない問題 (CWE-311) TaxiHail はサーバとの通信を暗号化しません。 CWE-311: Missing Encryption of Sensitive Data http://cwe.mitre.org/data/definitions/311.html タクシー会社のサービスが、TaxiHail をカスタマイズして使用している可能性があります。それはつまり、複数の iOS 向け、Android 向けアプリにこの脆弱性が受け継がれていることを意味しています。報告者によると、100 を超えるアプリが TaxiHail から作られているとのことです。

[アップデートする] Mobile Knowledge は TaxiHail version 3.1.26 (Android 版および iOS 版) で本脆弱性を修正しており、TaxiHail をもとに作成されたアプリも同様に修正されています。 TaxiHail の旧バージョンでは SSL 証明書を適切に検証していないことも報告されています。報告者によると、この問題は TaxiHail の最新版では修正されているとのことです。現時点では、どのバージョンでこの問題の修正が行われたのかは判明していません。 報告 http://jvn.jp/vu/JVNVU90369988 可能な限り早く、修正を行ったバージョンにアプリをアップデートすることを推奨します。