「ニトリアプリ」にアクセス制限不備の脆弱性、フィッシング被害の可能性も(JVN) | ScanNetSecurity
2024.04.25(木)

「ニトリアプリ」にアクセス制限不備の脆弱性、フィッシング被害の可能性も(JVN)

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は8月26日、スマートフォンアプリ「ニトリアプリ」におけるアクセス制限不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
facebookLINE
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は8月26日、スマートフォンアプリ「ニトリアプリ」におけるアクセス制限不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社サイバーディフェンス研究所 永岡悟 氏が報告を行った。

影響を受けるシステムは以下の通り。

Android アプリ「ニトリアプリ」 バージョン 6.0.4 およびそれ以前
iOS アプリ「ニトリアプリ」バージョン 6.0.2 およびそれ以前

JVNによると、株式会社ニトリホールディングスが提供するスマートフォンアプリ「ニトリアプリ」には、Custom URL Scheme を使用してリクエストされた URL にアクセスする機能が実装されているが、この機能には任意のアプリからリクエストを受け取りアクセスを実行してしまうアクセス制限不備の脆弱性(CWE-284)が存在し、遠隔の第三者によって当該製品を経由し任意のWebサイトにアクセスさせられる可能性があり、フィッシング等の被害にあう可能性がある。

JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

関連リンク

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  4. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  5. セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

    セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

  6. NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

    NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

  7. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  8. 笛吹市商工会へのサポート詐欺被害、調査結果公表

    笛吹市商工会へのサポート詐欺被害、調査結果公表

  9. 「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

    「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

  10. 情報処理学会、高等学校情報科の全教科書の用語リスト公開

    情報処理学会、高等学校情報科の全教科書の用語リスト公開

ランキングをもっと見る
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP