ヨドバシカメラのAndroidアプリに脆弱性 フィッシングサイトなど任意のURLへのアクセスに使われる恐れ

[井上輝一，ITmedia]

　ヨドバシカメラのショッピングアプリ「ヨドバシ」のAndroid版に、攻撃者によって任意のURLへのアクセスに使われてしまう脆弱性があるとして、JPCERT/CC（JPCERTコーディネーションセンター）が9月7日、注意を呼び掛けた。対策として、最新版へアップデートするよう案内している。

ヨドバシカメラのAndroidアプリに脆弱性

　ヨドバシのAndroid版アプリには、Androidの「Intent」という仕組みを利用して、他のアプリから送られてきたURLにアクセスする機能がある。しかし、同アプリにはリクエストの発行元を制限せず、任意のアプリからIntentを受け取って任意のURLへアクセスを行ってしまう、アクセス制限不備の脆弱性があるという。

　第三者がスマートフォンに対し遠隔操作を行い、同アプリを経由することで任意のWebサイトにアクセスすることも可能なことから、JPCERT/CCはフィッシングなどの被害にあう可能性があるとしている。

　同センターは、アプリを最新バージョン（1.8.8）にアップデートするよう呼び掛けている。

JPCERT/CCが呼び掛けている内容