IPAセキュリティセンターおよびJPCERT/CC(JPCERTコーディネーションセンター)は4月14日JVN(Japan Vulnerability Notes)において、スマートフォンアプリ「ぐるなび」におけるアクセス制限不備の脆弱性の情報を公表した。

スマートフォンアプリ「ぐるなび」には、Custom URL Schemeを用いてリクエストされたURLにアクセスする機能が実装されているが、この機能には、任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制限不備の脆弱性が存在するという。

この脆弱性を突かれると、遠隔の第三者によって、同アプリを経由して任意のWebサイトにアクセスさせられ、結果として、フィッシング詐欺などの被害にあうおそれがある

脆弱性の影響を受ける製品名およびバージョンは以下の通り。

  • Androidアプリ「ぐるなび」バージョン10.0.10およびそれ以前
  • iOS アプリ「ぐるなび」 バージョン 11.1.2及びそれ以前

対策としては、最新版にアップデートすることが推奨される。