La aplicación de banca móvil Chase para Android no verifica que el nombre de host del servidor coincida con un nombre de dominio en el Common Name (CN) del sujeto o el campo subjectAltName del certificado X.509, lo que permite a atacantes man-in-the-middle suplantar servidores SSL a través de un certificado válido arbitrario, relacionado con la sobreescritura del X509TrustManager por defecto. NOTA: esta vulnerabilidad fue solucionada en el verano de 2012, pero el número de versión no fue cambiado o no se conoce.

La aplicación Chase mobile banking para Android no comprueba si el nombre del servidor coincide con un nombre de dominio en el nombre común (CN) del sujeto o con el campo subjectAltName del certificado X.509, lo que permite ataques man-in-the-middle que falsifican servidores SSL mediante un certificado válido de su elección.