ヨドバシカメラのAndroidアプリに脆弱性 最新版への更新を推奨

アクセス制限不備の脆弱性

金子 麟太郎(Rintaro Kaneko)
金子 麟太郎(Rintaro Kaneko)
2020年09月7日, 午後 02:45 in yodobashi
0シェア
FacebookTwitter
Yodobashi App

JPCERT/CC(JPCERTコーディネーションセンター)は、ヨドバシカメラのショッピングアプリ(Android版)について、攻撃者によって任意のURLへのアクセスに使われてしまう脆弱性があるとして、注意を呼びかけています。

ヨドバシカメラのショッピングアプリ(以下、ヨドバシアプリ)には、Intentを使用してリクエストされたURLにアクセスする機能が実装されていますが、JPCERT/CCによれば、この機能にはリクエストの発行元を制限せず、任意のアプリからIntentを受け取って、任意のURLへアクセスしてしまう、アクセス制限不備の脆弱性 (CWE-284) が存在すると言います。

このため、『第三者によって当該製品を経由し、任意のWEBサイトにアクセスされるため、フィッシングなどの被害にあう可能性がある』と指摘しています。

JPCERT/CCは、この対策として、ヨドバシアプリを最新バージョン(1.8.8)へアップデートもしくはダウンロードするよう案内しています。

JPCERT/CC
▲JPCERT/CCが公開した資料


source:JPCERT/CC


 

TechCrunch 注目記事新型コロナのソーシャルディスタンスを支援するビデオチャットアプリ8選

 

新型コロナウイルス 関連アップデート[TechCrunch]

 

関連キーワード: yodobashi, yodobashi camera, shopping, App, mobile, news, gear
0シェア
FacebookTwitter

Sponsored Contents