複数の Android アプリには、SSL 証明書を適切に検証しない脆弱性が存在します。 CERT/CC では、CERT Tapioca を使用して本脆弱性を調査しました。調査手法の詳細は、CERT/CC blog をご確認ください。 また、本脆弱性については、CERT Oracle Secure Coding Standard for Java の DRD19-J. Properly verify server certificate on SSL/TLS も参照してください。 CERT Tapioca https://www.cert.org/vulnerability-analysis/tools/cert-tapioca.cfm CERT/CC blog https://www.cert.org/blogs/certcc/post.cfm?EntryID=204 DRD19-J. Properly verify server certificate on SSL/TLS https://www.securecoding.cert.org/confluence/x/CQAJC

[アップデートする] 開発者が提供する情報や、Android apps that fail to validate SSL の情報をもとに、最新版へアップデートしてください。 Android apps that fail to validate SSL https://docs.google.com/spreadsheets/d/1t5GXwjw82SyunALVJb2w0zi3FoLRIkfGPc7AMjRF0r4/edit?usp=sharing [影響を受けるアプリを使用しない] アプリがアクセスするコンテンツには、他の手段でもアクセスできる場合があります。 たとえば、多くのオンラインバンクサービスでは、専用アプリで提供されているものと同等のサービスをウェブブラウザから使用することが可能です。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 　・信頼できないネットワークを使用しない