ニュース
「ニトリアプリ」に脆弱性、アプリ経由でフィッシングサイトなどに誘導される恐れ
2020年8月26日 19:39
株式会社ニトリホールディングスが提供するAndroid/iOS版の「ニトリアプリ」に脆弱性が存在するとして、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営する「Japan Vulnerability Notes(JVN)」が情報を公開した。
同アプリは、Custom URL Schemeを使用してリクエストされたURLにアクセスする機能を実装しているが、同機能には任意のアプリからリクエストを受け取りアクセスを実行してしまうアクセス制限不備の脆弱性がある。共通脆弱性評価システムCVSS v3のスコアは4.3。
脆弱性を悪用されると、遠隔の第三者によって同アプリを経由してフィッシングサイトなど任意のウェブサイトにアクセスさせられる恐れがる。
影響を受けるアプリのバージョンはAndroid版が6.0.4以前、iOS版が6.0.2以前。バージョン6.1.0以降では脆弱性が修正されているため、最新版の適用が推奨される。
なお、ニトリホールディングスによると、8月21日時点で同脆弱性による被害報告はないという。