報告した脆弱性が修正されたので注意喚起(ホットペッパーグルメアプリ CVE-2021-20715)

IT

「ホットペッパーグルメ」アプリに脆弱性報告しました。
CVEになりましたので、注意喚起記事を作成しました。

「ホットペッパーグルメ」アプリとは?

ネット上で飲食店の情報を調べたり、予約が出来る「ホットペッパーグルメ」のアプリ版です。
ホットペッパーグルメ

脆弱なバージョン

JVNから引用しました。
スマートフォンアプリ「ホットペッパーグルメ」におけるアクセス制限不備の脆弱性

Androidアプリ「ホットペッパーグルメ」 ver.4.111.5
iOSアプリ「ホットペッパーグルメ」 ver.4.111.5

対策

最新版へのアップデート

脆弱性の影響

フィッシング被害に合う可能性があります。

Custom URL Scheme(nick://test/aaaa?paramみたいなもの)経由のため、普通にネットサーフィンしててリンクをクリックしただけで悪意あるサイトに誘導される可能性があります。

悪意あるサイトはホットペッパーグルメアプリ上で読み込まれるため、よっぽど疑ってないと悪意あるサイトだと気づかない(はず)です。

おわりに

私が報告した脆弱性の注意喚起でした。

私個人としては、直近で2つ目のCVEとなりました。
1つ目と脆弱性の内容は同じなので、記事内容もほぼ同じです。

ホットペッパーグルメアプリ開発の方々、IPA・JPCERTなど調整してくださった方々、その他関係者の皆様、ご対応ありがとうございました。

コメント

タイトルとURLをコピーしました