JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は9月17日(米国時間)、「JVN#31864411: Android アプリ「ユニクロアプリ」における複数のアクセス制限不備の脆弱性」において、Android版の「ユニクロアプリ」に複数の脆弱性が存在すると伝えた。これらの脆弱性を悪用されると、攻撃者によってユーザーが任意のWebサイトにアクセスさせられる危険性があるという。悪意のあるWebサイトに誘導することで、フィッシング詐欺などの被害を受けるおそれもあるため注意が必要。

  • JVN#31864411: Android アプリ「ユニクロアプリ」における複数のアクセス制限不備の脆弱性

    JVN#31864411: Android アプリ「ユニクロアプリ」における複数のアクセス制限不備の脆弱性

今回報告された脆弱性は以下の2つ。

  • CVE-2020-5628: Custom URL Schemeにより当該アプリが起動され、指定された任意のURLにアクセスさせられる
  • CVE-2020-5629: コンポーネントが任意のアプリからIntentを受け取り、Intentがリクエストする任意のURLにアクセスさせられる

いずれも、外部のアプリからリクエストを受け取って指定されたWebサイトへのアクセスを実行してしまうというもので、適切なアクセス制限が実装されていないことに起因する問題である。脆弱性の深刻度を表すCVSS v3のスコアは、CVE-2020-5628が4.3で「警告」、CVE-2020-5629が3.3で「注意」となっている。

影響を受けるアプリのバージョンは7.3.3以前で、すでに開発元より対策を施したバージョン7.3.4がリリースされている。JPCERT/CCは、開発元が提供する情報をもとに、アプリを最新版にアップデートすることを推奨している。