Android アプリ「メルカリ」にアクセス制限不備の脆弱性
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・アクセス制限不備の脆弱性とは
・どのような被害が発生するか
今回の解説ニュース
メルカリのAndroidアプリに脆弱性が発見されています。ご利用中の方は最新版へのアップデートを検討してください。発見された脆弱性の内容と、どのような被害が発生するかについて説明します。
今回の脆弱性は、Android アプリにアクセス制限不備の脆弱性が存在するというものです。影響を受けるのは、Android アプリ「メルカリ」のバージョン5.78.0より前のバージョンです。影響として、遠隔の第三者によって当該製品を経由し任意のウェブサイトにアクセスさせられ、フィッシング等の被害にあう可能性があるということです。
深刻度を表すCVSSv3の基本値は3.3で、4番目に高い「注意」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-23388」で検索してみてください。
アクセス制限不備の脆弱性とは
Androidアプリにおけるアクセス制限不備の脆弱性は、アプリが意図せず外部からのアクセスを許可してしまう脆弱性です。攻撃者がこの脆弱性を悪用すると、アプリの不正な操作などが可能になり、利用者の個人情報や機密情報へのアクセスなど、深刻な被害に繋がる可能性があります。
例えば、みなさんがVoicyのAndroidアプリをインストールしたとします。セキュラジを視聴するためには、VoicyのWebサイトにアクセスして、音声コンテンツが再生できればいいことになります。しかし、何ら制限をかけていない場合は、Voicyのアプリで別のWebサイトへアクセスできてしてしまう可能性があります。もちろん、あくまでも例え話で、Voicyのアプリに脆弱性が発見されたわけではありません。