| 概要 | 'Rakuten Ichiba App' for Android 12.4.0 and earlier and 'Rakuten Ichiba App' for iOS 11.7.0 and earlier are vulnerable to improper authorization in handler for custom URL scheme. An arbitrary site may be displayed on the WebView of the product via Intent from another application installed on the user's device. As a result, the user may be redirected to an unauthorized site, and the user may become a victim of a phishing attack. |
|---|---|
| 公表日 | 2024年8月29日12:15 |
| 登録日 | 2024年8月30日5:01 |
| 最終更新日 | 2024年8月30日9:15 |
| タイトル | スマートフォンアプリ「楽天市場アプリ」におけるアクセス制限不備の脆弱性 |
|---|---|
| 概要 | 楽天グループ株式会社が提供するスマートフォンアプリ「楽天市場アプリ」には、Custom URL Schemeを使用してリクエストされたURLにアクセスする機能が実装されています。この機能には、任意のアプリからリクエストを受け取り指定されたURLへアクセスを実行してしまう、アクセス制限不備の脆弱性(CWE-939)が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ブロードバンドセキュリティ 志賀 拓馬 氏 |
| 想定される影響 | 遠隔の第三者によって、当該製品を経由し任意のウェブサイトにアクセスさせられる可能性があります。結果として、フィッシング等の被害にあう可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 |
| 公表日 | 2024年8月20日0:00 |
| 登録日 | 2024年8月20日16:33 |
| 最終更新日 | 2024年8月20日16:33 |
| 楽天グループ株式会社 |
| Android アプリ「楽天市場アプリ」 12.4.0およびそれ以前のバージョン |
| iOS アプリ「楽天市場アプリ」 11.7.0およびそれ以前のバージョン |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2024年08月20日] 掲載 |
2024年8月13日11:00 |