ニュース

「ユニクロアプリ」Android版に複数の脆弱性、フィッシングサイトなどへ誘導される恐れ

最新バージョンの適用を呼び掛け

 株式会社ユニクロが提供するAndroid版「ユニクロアプリ」に複数の脆弱性が存在するとして、独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)の運営する「Japan Vulnerability Notes(JVN)」が情報を公開した。

 Custom URL Schemeを使用してリクエストされたURLにアクセスする機能において、任意のアプリからリクエストを受け取り、アクセスを実行してしまうアクセス制限不備の脆弱性(CVE-2020-5628)が存在する。共通脆弱性評価システムCVSS v3のスコアは4.3。

 また、Intentを使用してリクエストされたURLにアクセスする機能において、任意のアプリからIntentを受け取り、任意のURLへのアクセスを行ってしまうアクセス制限不備の脆弱性(CVE-2020-5629)が存在する。共通脆弱性評価システムCVSS v3のスコアは3.3。

 これらの脆弱性を悪用されると、遠隔の第三者によって同アプリを経由してフィッシングサイトなど任意のウェブサイトにアクセスさせられる恐れがる。

 影響を受けるアプリのバージョンは「7.3.3」以前。ユニクロでは脆弱性の修正は9月7日に対応済みで、最新バージョン「7.3.4」をリリースしている。

 なお、17日時点で同脆弱性を悪用した被害の報告はないという。