2020.09.08 事件・トラブル
ヨドバシカメラのAndroidアプリ、JPCERTが脆弱性を指摘・注意呼びかけ
コンピュータセキュリティー関連情報の収集・発信を手がける一般社団法人「JPCERTコーディネーションセンター(JPCERT/CC)」は7日、(株)ヨドバシカメラが提供するAndroidアプリ「ヨドバシ」にアクセス制限不備の脆弱性が存在すると公表し、注意を呼びかけている。
任意URL遷移→フィッシングの恐れ
脆弱性情報は、セキュリティサービスの(株)サイバーディフェンス研究所が、独立行政法人「情報処理推進機構(IPA)」に報告し、JPCERT/CC が開発者との調整を行った。
それによると、影響を受けるシステムはAndroid アプリ「ヨドバシ」のバージョン1.8.7およびそれ以前。Android アプリ「ヨドバシ」には、AndroidのIntentという仕組みを使ってリクエストされたURLにアクセスする機能が実装されている。この機能には、任意のアプリから Intent を受け取り、任意のURLへのアクセスを行ってしまうアクセス制限不備の脆弱性があると指摘している。
遠隔の第三者によって、Androidアプリ「ヨドバシ」を経由することで、任意のウェブサイトにアクセスさせられる可能性があり、結果として、フィッシングなどの被害に遭う可能性があるという。
対策としてアプデを呼びかけ
具体的には、ユーザーが悪意あるページに誘導される⇒悪意あるウェブサーバはAndroidアプリ「ヨドバシ」へのアクセスを誘導するページを返す⇒ユーザーはリンクをたどり、Androidアプリ「ヨドバシ」へリクエストを送信する⇒細工されたリクエストを基にリダイレクト先URLを決定する⇒フィッシングサイトに自動的にリダイレクトされる⇒悪意あるウェブサーバはAndroidアプリ「ヨドバシ」に似せたページを返す⇒フィッシングサイトが表示される――。
JPCERT/CCは、開発者が提供する情報をもとに、最新バージョンへのアップデートを呼びかけている。
※「資料掲載企業アカウント」の会員情報では「通販通信ECMO会員」としてログイン出来ません。
資料DLランキング
-
1
今注目のライブコマースで変わるこれからのEC
-
2
【無料公開】食品EC「カオスマップ」2025 – 食品EC業界の最新動向
-
3
SHOPLINEがあなたのブランドを世界へ! 越境EC成功の鍵とは
-
4
ペット×ECの未来を拓く!導入事例あり!
-
5
東南アジア最大のECプラットフォーム Shopeeのサービス概要
ニュースランキング
-
1
食品表示のデジタル化 今年度に「技術マニュアル(案)」を作成…消費者庁
-
2
Yahoo!ショッピング、お気に入り商品の在庫・再入荷情報のLINE通知を開始
-
3
ニチレイのシステム障害、明日(17日)から業務を順次開始予定
-
4
【7月17日8時更新:物流配送状況】日本郵便/ヤマト運輸/佐川急便/西濃運輸/福山通運
-
5
サプリメントの新たな施策が出そろう…厚労省・消費者庁
