スマートフォンアプリ「Yahoo! JAPAN」にXSSの脆弱性
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・クロスサイトスクリプティングの概要
・クロスサイトスクリプティングの脆弱性を未然に防ぐ方法
今回の解説ニュース
ヤフーのスマホアプリに脆弱性が発見されています。ご利用中の方はアップデートを検討してください。発見された脆弱性であるクロスサイトスクリプティングの内容と、クロスサイトスクリプティングの被害を防ぐ方法について説明します。
今回の脆弱性は、スマートフォンアプリ「Yahoo! JAPAN」にクロスサイトスクリプティングの脆弱性が存在するというものです。影響を受けるバージョンは、Android アプリ「Yahoo! JAPAN」v2.3.1 から v3.161.1 までと、iOS アプリ「Yahoo! JAPAN」v3.2.2 から v4.109.0 までです。影響として、ユーザの端末にインストールされた他のアプリを介して、当該製品のWebView 上で任意のスクリプトが実行される可能性があるということです。
深刻度を表すCVSSv3の基本値は5.0で、3番目に高い「警告」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-28895」で検索してみてください。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけています。
クロスサイトスクリプティングの概要
クロスサイトスクリプティングはXSSとも略される、脆弱性のあるWebサイトに不正なスクリプトを挿入する攻撃です。この攻撃により、ユーザーが閲覧しているWebサイト上で悪意のあるスクリプトが実行され、個人情報の流出やマルウェア感染などの被害が発生します。
攻撃の手口として、まず攻撃者は、脆弱なWebサイトを特定し、掲示板やコメント欄など、ユーザーが入力できる箇所を利用して、悪意のあるコードの入ったスクリプトを埋め込みます。ユーザーが埋め込まれたコードを含むWebサイトを閲覧すると、スクリプトに書かれたコードが実行されます。実行されたコードによって、ユーザーの個人情報が盗まれたり、不正な操作をされたりする可能性があります。
実際に発生した被害例として、ユーザーの知らない間に、ユーザーの入力したパスワードやクレジットカード情報などが盗まれたり、不正な送金や情報の改ざんが行われたりすることがあります。また、ユーザーに偽のログイン画面などを表示して、IDやパスワードを入力させる、フィッシング詐欺に利用される場合もあります。