| Summary | 'Rakuten Ichiba App' for Android 12.4.0 and earlier and 'Rakuten Ichiba App' for iOS 11.7.0 and earlier are vulnerable to improper authorization in handler for custom URL scheme. An arbitrary site may be displayed on the WebView of the product via Intent from another application installed on the user's device. As a result, the user may be redirected to an unauthorized site, and the user may become a victim of a phishing attack. |
|---|---|
| Publication Date | Aug. 29, 2024, 12:15 p.m. |
| Registration Date | Aug. 30, 2024, 5:01 a.m. |
| Last Update | Aug. 30, 2024, 9:15 a.m. |
| Title | スマートフォンアプリ「楽天市場アプリ」におけるアクセス制限不備の脆弱性 |
|---|---|
| Summary | 楽天グループ株式会社が提供するスマートフォンアプリ「楽天市場アプリ」には、Custom URL Schemeを使用してリクエストされたURLにアクセスする機能が実装されています。この機能には、任意のアプリからリクエストを受け取り指定されたURLへアクセスを実行してしまう、アクセス制限不備の脆弱性(CWE-939)が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ブロードバンドセキュリティ 志賀 拓馬 氏 |
| Possible impacts | 遠隔の第三者によって、当該製品を経由し任意のウェブサイトにアクセスさせられる可能性があります。結果として、フィッシング等の被害にあう可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 |
| Publication Date | Aug. 20, 2024, midnight |
| Registration Date | Aug. 20, 2024, 4:33 p.m. |
| Last Update | Aug. 20, 2024, 4:33 p.m. |
| 楽天グループ株式会社 |
| Android アプリ「楽天市場アプリ」 12.4.0およびそれ以前のバージョン |
| iOS アプリ「楽天市場アプリ」 11.7.0およびそれ以前のバージョン |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2024年08月20日] 掲載 |
Aug. 13, 2024, 11 a.m. |