漏洞关键信息 漏洞概述 漏洞编号: JVN#61297210 漏洞标题: Money Forward Apps for Android vulnerable in the WebView class 影响的应用: Money Forward 以及一些特定银行和机构的专用应用在 WebView 类中存在漏洞。 受影响产品 Money Forward, Inc.: - Android App Money Forward (prior to v7.18.0) - Android App Money Forward for The Gunma Bank (prior to v1.2.0) - Android App Money Forward for SHIGA BANK (prior to v1.2.0) - Android App Money Forward for SHIZUOKA BANK (prior to v1.4.0) - Android App Money Forward for SBI Sumishin Net Bank (prior to v1.6.0) - Android App Money Forward for Tokai Tokyo Securities (prior to v1.4.0) - Android App Money Forward for THE TOHO BANK (prior to v1.3.0) - Android App Money Forward for YMFG (prior to v1.5.0) SOURCENEXT CORPORATION: - Money Forward for AppPass (prior to v7.18.3) - Money Forward for au SMARTPASS (prior to v7.18.0) - Money Forward for Chou Houdai (prior to v7.18.3) 漏洞描述 Money Forward Apps for Android 的 WebView 类存在安全漏洞。 影响 如果用户使用受到影响的产品,并同时使用了其他恶意的 Android 应用时,受漏洞影响的产品所管理的信息可能会被泄露。 解决方案 应用更新: 根据开发者提供的信息,升级到最新版本。 供应商状态 Money Forward, Inc. 的状态为“易受攻击”,最后一次更新时间为 2016/09/20。 CVSS 分数 CVSS v3: Base Score: 4.4 (AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N) CVSS v2: Base Score: 4.0 (AV:N/AC:H/Au:N/C:P/I:P/A:N) 备注 此分析假设用户可能被诱骗安装了恶意应用程序。 致谢 Kenta Suefusa、Akinori Konishi 和 Tomonori Shiomi from Sprout Inc. 向 IPA 报告了此漏洞,JPCERT/CC 与开发者在信息安全早期预警合作伙伴关系下协作。 其他信息 CVE: CVE-2016-4839 JVNDB: JVNDB-2016-000160