IPA(情報処理推進機構)セキュリティセンターおよびJPCERT/CC(JPCERTコーディネーションセンター)は8月26日、ニトリのスマートフォンアプリ「ニトリアプリ」にアクセス制限不備の脆弱性があると、JVN(Japan Vulnerability Notes)において公表した。
ニトリホールディングスが提供するスマートフォンアプリ 「ニトリアプリ」は、商品の在庫検索や購入などを行えるアプリ。このアプリには、Custom URL Schemeを用いてリクエストされたURLにアクセスする機能が実装されている。
この機能には、任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制限不備の脆弱性が存在しているという。
この脆弱性を悪用されると、遠隔の第三者によって、アプリを経由し任意のWebサイトにアクセスさせられるおそれがあり、結果として、フィッシングなどの被害に遭う可能性があるという。
この脆弱性は、8月21日にリリースされたバージョン 6.1.0 以降で修正されており、アプリをバージョンアップすることで直ちに解消されるという。