スマホアプリ「ホットペッパーグルメ」にアクセス制限不備の脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月27日、スマートフォンアプリ「ホットペッパーグルメ」におけるアクセス制限不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
Androidアプリ「ホットペッパーグルメ」 ver.4.111.0 およびそれ以前
iOSアプリ「ホットペッパーグルメ」 ver.4.111.0 およびそれ以前
JVNによると、株式会社リクルートが提供するスマートフォンアプリ「ホットペッパーグルメ」には、Custom URL Scheme を使用してリクエストされた URL にアクセスする機能が実装されているが、本機能には任意のアプリからリクエストを受け取りアクセスを実行してしまうアクセス制限不備の脆弱性が存在し、遠隔の第三者によって当該製品を経由し任意のウェブサイトにアクセスさせられ、フィッシング等の被害にあう可能性がある。
開発者は本脆弱性を修正した下記のバージョンをリリースしており、JVNでは最新版へアップデートするよう呼びかけている。
Androidアプリ「ホットペッパーグルメ」 ver.4.111.5
iOSアプリ「ホットペッパーグルメ」 ver.4.111.5
《ScanNetSecurity》