Androidアプリ「ZOZOTOWN ファッション通販」に脆弱性

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月19日、「JVN#37818611: Androidアプリ「ZOZOTOWN」におけるアクセス制限不備の脆弱性」において、ショッピングアプリ「ZOZOTOWN ファッション通販」のAndroid版に脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によってフィッシングサイトなどに誘導される可能性がある。

• JVN#37818611: Androidアプリ「ZOZOTOWN」におけるアクセス制限不備の脆弱性

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

• CVE-2024-35298 - カスタムURLスキームのハンドラーに不適切なアクセス制限の脆弱性。攻撃者は、ZOZOTOWN以外のアプリからZOZOTOWNアプリを介してユーザーを任意のWebサイトにアクセスさせることができる

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

• ZOZOTOWN ファッション通販 7.39.6より前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

• ZOZOTOWN ファッション通販 7.39.6およびこれ以降のバージョン

この脆弱性を悪用するには、悪意のあるまたは脆弱な別のアプリが必要。そのため、深刻度の評価は警告(Warning)にとどまる。しかしながら、攻撃可能な条件が整った場合の影響は無視できないため、利用者には最新版へのアップデートが望まれている。