報告した脆弱性が修正されたので注意喚起(ぐるなびアプリ CVE-2021-20693)

IT

「ぐるなび」アプリに脆弱性報告しました。
CVEになりましたので、注意喚起記事を作成しました。

「ぐるなび」アプリとは?

おそらく大多数の方が使ったことがあるぐるなびのスマートフォンアプリ版です。
www.gnavi.co.jp

脆弱なバージョン

JVNから引用しました。
jvn.jp

Android アプリ「ぐるなび」 ver.10.0.10 およびそれ以前
iOS アプリ「ぐるなび」 ver.11.1.2 およびそれ以前

対策

最新版へのアップデート

脆弱性の影響

フィッシング被害に合う可能性があります。

Custom URL Scheme(nick://test/aaaa?paramみたいなもの)経由のため、普通にネットサーフィンしててリンクをクリックしただけで悪意あるサイトに誘導される可能性があります。

悪意あるサイトはぐるなびアプリ上で読み込まれるため、よっぽど疑ってないと悪意あるサイトだと気づかない(はず)です。

おわりに

私が報告した脆弱性の注意喚起でした。

今すぐどうにかしないと危ない脆弱性ではないです。

ぐるなびアプリ開発の方々、IPA・JPCERTなど調整してくださった方々、その他関係者の皆様、ご対応ありがとうございました。

コメント

タイトルとURLをコピーしました