独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月28日、株式会社カカオピッコマが提供するスマートフォンアプリ「ピッコマ」に外部サービスのAPIキーがハードコードされている問題が存在すると「Japan Vulnerability Notes(JVN)」で発表した。株式会社ブロードバンドセキュリティの坂井祥仁氏がIPAに報告を行った。
影響を受けるシステムは以下の通り。
・Androidアプリ「ピッコマ-人気漫画や話題のコミックが毎日読めるマンガアプリ」6.20.0より前のバージョン
・iOSアプリ「ピッコマ 人気漫画/話題のコミックが毎日読めるマンガアプリ」6.20.0より前のバージョン
これらのバージョンには、外部サービスのAPIキーがハードコードされている問題が存在する。この問題が悪用された場合、アプリ内のデータを解析され、外部サービスと連携するためのAPIキーが不正に窃取される可能性がある。
なお、6.20.0以降のバージョンでこの問題は改善されている。
この脆弱性によって、製品利用者が直接影響を受けることはないとしている。JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。
修正版ではAPIキーがアプリ内から削除されている。また既存のAPIキーはすでに無効化されているため、本脆弱性の影響を受けるバージョンのアプリに含まれる情報を悪用することはできないとしている。
