JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は10月29日、「JVN#49465877: Android アプリ「メルカリ(メルペイ)-フリマアプリ&スマホ決済」における Intent の取り扱い不備に関する脆弱性」において、Android版「メルカリ」アプリに脆弱性が発見され、開発元のメルカリが修正版をリリースしたことを伝えた。この脆弱性を悪用されると、攻撃者によってメルカリアカウントのアクセストークンを窃取される危険性があるという。

  • メルカリ(メルペイ)-フリマアプリ&スマホ決済 - Google Playのアプリ

    メルカリ(メルペイ)-フリマアプリ&スマホ決済 - Google Playのアプリ

「メルカリ」アプリ(正式名称は「メルカリ(メルペイ)-フリマアプリ&スマホ決済」)では、フリマサービス「メルカリ」における商品の売買や、「メルペイ」によるスマホ決済などを行うことができる。今回報告されている脆弱性は、Intentの取り扱いの不備によって、悪意のあるページにアクセスした場合に、そのページによって任意のActivityが起動できてしまうというもの。その結果、メルカリアカウントのアクセストークンを窃取することが可能になるという。

バージョン4.49.1より前のバージョンがこの脆弱性の影響を受けるとされている。開発元のメルカリからは、2021年10月26日に修正版となるバージョン4.49.1がリリースされている。同社によると、該当するバージョンに対してはすでに強制アップデートが適用されているため、アプリ起動時にアップデートを促す警告が表示されて利用できなくなっているという。自動アップデートを有効にしているユーザは、特に追加のアクションを必要とせずに修正版へのアップデートが実施される。

脆弱性の深刻度を表すCVSS v3のベーススコアは7.4で、深刻度「Important(重要)」に分類されている。