IPA(情報処理推進機構)セキュリティセンターおよびJPCERT/CC(JPCERTコーディネーションセンター)は9月7日、ヨドバシカメラが提供するAndroidアプリ「ヨドバシ」の過去バージョンに、アクセス制限不備の脆弱性があるとして注意を呼びかけた。脆弱性を修正した最新版(バージョン 1.8.7)はすでにリリースされている。

  • Google Playの「ヨドバシ」Androidアプリ

Androidアプリ「ヨドバシ」は、ヨドバシカメラの在庫検索や購入などが行えるアプリ。IPAおよびJPCERT/CCによると、同アプリで使われているIntent機能には、任意のアプリからIntentを受け取り、任意のURLへのアクセスを行うアクセス制限不備の脆弱性があるという。このため、遠隔の第三者により任意のウェブサイトにアクセスさせられる恐れがあり、結果としてフィッシングなどの被害にあう可能性があるとする。

脆弱性を修正した「ヨドバシ」アプリの最新版(バージョン 1.8.7)は、8月18日にリリース済み。IPAおよびJPCERT/CCは、速やかに最新版へアップデートするよう呼びかけている。