【アプリ】「ニトリアプリ」に脆弱性、アプリ経由でフィッシングサイトなどに誘導される恐れ [田杉山脈★]
■ このスレッドは過去ログ倉庫に格納されています
株式会社ニトリホールディングスが提供するAndroid/iOS版の「ニトリアプリ」に脆弱性が存在するとして、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営する「Japan Vulnerability Notes(JVN)」が情報を公開した。
同アプリは、Custom URL Schemeを使用してリクエストされたURLにアクセスする機能を実装しているが、同機能には任意のアプリからリクエストを受け取りアクセスを実行してしまうアクセス制限不備の脆弱性がある。共通脆弱性評価システムCVSS v3のスコアは4.3。
脆弱性を悪用されると、遠隔の第三者によって同アプリを経由してフィッシングサイトなど任意のウェブサイトにアクセスさせられる恐れがる。
影響を受けるアプリのバージョンはAndroid版が6.0.4以前、iOS版が6.0.2以前。バージョン6.1.0以降では脆弱性が修正されているため、最新版の適用が推奨される。
なお、ニトリホールディングスによると、8月21日時点で同脆弱性による被害報告はないという。
https://internet.watch.impress.co.jp/docs/news/1273094.html >>1
そもそもこの会社の家具にはシックハウスの健康脆弱性が多分にあります ニトリアプリ、ログインしようとしても「正常に処理できませんでした」って毎回でて、まともに使えんくなった ポイントカードのバーコードを画像にしてスマホに入れて表示したら店員にアプリ使って表示しろやって言われて腹が立ってその場でケンカになってそれ以来ニトリ行ってないけど困ってない
アプリ入れないでよかったわ >>12
いきなりキチガイクレーマーカミングアウトするとかどうした? >>12
どうせ他人のバーコードを使おうとしたんだろ
断られるに決まってる その任意のアプリ自体からフィッシングサイトにアクセスすれば良いのに
なんでわざわざニトリのアプリ経由してフィッシングサイトアクセスする必要があるんだ アプリ開発してるけど脆弱性とか殆ど意識して作ってないわ。 >>12
アプリ画面のスクショをどっかから持ってきて、それにバーコード貼ればいいんじゃね? ■ このスレッドは過去ログ倉庫に格納されています
