スマホアプリ「ホットペッパーグルメ」にアクセス制限不備の脆弱性 | ScanNetSecurity
2021.05.12(水)

スマホアプリ「ホットペッパーグルメ」にアクセス制限不備の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月27日、スマートフォンアプリ「ホットペッパーグルメ」におけるアクセス制限不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月27日、スマートフォンアプリ「ホットペッパーグルメ」におけるアクセス制限不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。佐藤竜氏が報告を行っている。影響を受けるシステムは以下の通り。

Androidアプリ「ホットペッパーグルメ」 ver.4.111.0 およびそれ以前
iOSアプリ「ホットペッパーグルメ」 ver.4.111.0 およびそれ以前

JVNによると、株式会社リクルートが提供するスマートフォンアプリ「ホットペッパーグルメ」には、Custom URL Scheme を使用してリクエストされた URL にアクセスする機能が実装されているが、本機能には任意のアプリからリクエストを受け取りアクセスを実行してしまうアクセス制限不備の脆弱性が存在し、遠隔の第三者によって当該製品を経由し任意のウェブサイトにアクセスさせられ、フィッシング等の被害にあう可能性がある。

開発者は本脆弱性を修正した下記のバージョンをリリースしており、JVNでは最新版へアップデートするよう呼びかけている。

Androidアプリ「ホットペッパーグルメ」 ver.4.111.5
iOSアプリ「ホットペッパーグルメ」 ver.4.111.5

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. オンプレミス(私有地)からパブリッククラウド(公道)へ、「ガードレール型セキュリティ」とクラウド事故の三大人因とは?

    オンプレミス(私有地)からパブリッククラウド(公道)へ、「ガードレール型セキュリティ」とクラウド事故の三大人因とは?PR

  2. 「ワクチン接種予約システム」に関する不具合、トヨクモ社の見解

    「ワクチン接種予約システム」に関する不具合、トヨクモ社の見解

  3. 不正アクセスで日産証券オンライントレードシステムに障害発生、決済注文に限り電話で対応

    不正アクセスで日産証券オンライントレードシステムに障害発生、決済注文に限り電話で対応

  4. メールアカウント7件に不正アクセス、海外への迷惑メール送信の踏み台に(エコ・プロジェクト協同組合)

    メールアカウント7件に不正アクセス、海外への迷惑メール送信の踏み台に(エコ・プロジェクト協同組合)

  5. 廃棄扱いのはずの書類が郵送で届く、何者かが意図的に持ち出した可能性も

    廃棄扱いのはずの書類が郵送で届く、何者かが意図的に持ち出した可能性も

  6. ソフトバンク、10億円の支払い求める ~ 楽天モバイルへ営業秘密の利用停止と廃棄求め民事訴訟

    ソフトバンク、10億円の支払い求める ~ 楽天モバイルへ営業秘密の利用停止と廃棄求め民事訴訟

  7. セキュリティ機関を騙る振込詐欺が発生、実在する職員氏名を詐称

    セキュリティ機関を騙る振込詐欺が発生、実在する職員氏名を詐称

  8. ランサムウェアの身代金支払いで反社への資金供与システムと化すサイバー保険産業

    ランサムウェアの身代金支払いで反社への資金供与システムと化すサイバー保険産業

  9. 慶應義塾大学湘南藤沢キャンパスの大学院棟会議室予約システムに不正アクセス、のべ6,507名の利用者情報流出

    慶應義塾大学湘南藤沢キャンパスの大学院棟会議室予約システムに不正アクセス、のべ6,507名の利用者情報流出

  10. Pulse Connect Secure に任意コード実行の脆弱性、悪用した攻撃を確認済み

    Pulse Connect Secure に任意コード実行の脆弱性、悪用した攻撃を確認済み

ランキングをもっと見る