スマホアプリ「goo blog」にアクセス制限不備の脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月2日、スマートフォンアプリ「goo blog(gooブログ)」におけるアクセス制限不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
Androidアプリ「goo blog(gooブログ)」 バージョン 1.2.25 およびそれ以前
iOSアプリ「goo blog(gooブログ)」 バージョン 1.3.3 およびそれ以前
エヌ・ティ・ティレゾナント株式会社が提供するスマートフォンアプリ「goo blog(gooブログ)」には、Custom URL Scheme を使用してリクエストされた URL にアクセスする機能が実装されているが、本機能には、任意のアプリからリクエストを受け取りアクセスを実行してしまうアクセス制限不備の脆弱性が存在する。
想定される影響としては、遠隔の第三者によって、当該製品を経由し任意のWebサイトにアクセスさせられる可能性があり、結果としてフィッシング等の被害にあう可能性がある。
JVNでは、本脆弱性を修正したAndroidアプリ「goo blog(gooブログ)」 バージョン 1.2.26、iOSアプリ「goo blog(gooブログ)」 バージョン 1.3.4にアップデートするよう注意を呼びかけている。
《ScanNetSecurity》