「ぐるなび」アプリにアクセス制限不備の脆弱性、フィッシング被害の可能性
一般社団法人JPCERTコーディネーションセンターは、株式会社ぐるなびが提供するスマートフォンアプリ「ぐるなび」について、アクセス制限不備の脆弱性が存在すると注意喚起を行っている。
今回発見された脆弱性は、Android アプリ「ぐるなび」 ver.10.0.10 およびそれ以前と、iOS アプリ「ぐるなび」 ver.11.1.2 およびそれ以前のバージョンが対象。
これらのバージョンでは、Custom URL Schemeを使用してリクエストされたURLにアクセスする機能が実装されているが、任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制限不備の脆弱性 (CWE-284) が存在する。
この脆弱性を悪意ある第三者が利用しようとすると、遠隔操作で当該製品を経由して任意のウェブサイトにアクセスさせられ、フィッシング等の被害にあう可能性がある。
ぐるなびではアプリの最新版を提供しているので、脆弱性を含むバージョンを利用しているユーザーは最新版へアップデートする必要がある。
これらのバージョンでは、Custom URL Schemeを使用してリクエストされたURLにアクセスする機能が実装されているが、任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制限不備の脆弱性 (CWE-284) が存在する。
この脆弱性を悪意ある第三者が利用しようとすると、遠隔操作で当該製品を経由して任意のウェブサイトにアクセスさせられ、フィッシング等の被害にあう可能性がある。
ぐるなびではアプリの最新版を提供しているので、脆弱性を含むバージョンを利用しているユーザーは最新版へアップデートする必要がある。