情報処理推進機構から配信されたニュースリリースを転載しました。
■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、 2021 年 4 月 27 日に「スマートフォンアプリ『ホットペッパーグルメ』におけるアクセス制限不備の脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。
◆概要 ・株式会社リクルートが提供するスマートフォンアプリ「ホットペッパーグルメ」は、飲食店検索を行うアプリケーションです。
・「ホットペッパーグルメ」には、Custom URL Scheme を使用してリクエストされた URL にアクセスする機能に、任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制御不備の脆弱性が存在します。
・遠隔の第三者によって、当該製品を経由し任意のウェブサイトにアクセスさせられる可能性があります。 結果として、フィッシング等の被害にあう可能性があります。
・開発者が提供する情報をもとに、最新版にアップデートしてください。
◆この脆弱性情報は、2020 年 12 月 1 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください。
・スマートフォンアプリ「ホットペッパーグルメ」におけるアクセス制限不備の脆弱性
URL:https://jvn.jp/jp/JVN97434260/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#97434260」を参照