Yodobashi App

JPCERT/CC(JPCERTコーディネーションセンター)は、ヨドバシカメラのショッピングアプリ(Android版)について、攻撃者によって任意のURLへのアクセスに使われてしまう脆弱性があるとして、注意を呼びかけています。

ヨドバシカメラのショッピングアプリ(以下、ヨドバシアプリ)には、Intentを使用してリクエストされたURLにアクセスする機能が実装されていますが、JPCERT/CCによれば、この機能にはリクエストの発行元を制限せず、任意のアプリからIntentを受け取って、任意のURLへアクセスしてしまう、アクセス制限不備の脆弱性 (CWE-284) が存在すると言います。

このため、『第三者によって当該製品を経由し、任意のWEBサイトにアクセスされるため、フィッシングなどの被害にあう可能性がある』と指摘しています。

JPCERT/CCは、この対策として、ヨドバシアプリを最新バージョン(1.8.8)へアップデートもしくはダウンロードするよう案内しています。

JPCERT/CC
▲JPCERT/CCが公開した資料


source:JPCERT/CC