スマートフォンアプリ「楽天市場アプリ」にアクセス制限不備の脆弱性
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・発見された脆弱性の内容
・アプリの利用者ができる対策
今回の解説ニュース
楽天のアプリの脆弱性が発見されています。ご利用中の方は最新版へアップデートを検討してください。発見された脆弱性の内容と、アプリの利用者ができる対策について説明します。今回の脆弱性は、楽天市場のスマートフォンアプリにアクセス制限不備の脆弱性が存在するというものです。
影響を受けるシステムは、Android版「楽天市場アプリ」 12.4.0およびそれ以前のバージョンと、iOS版「楽天市場アプリ」 11.7.0およびそれ以前のバージョンです。影響として、攻撃者の作成した任意のアプリからリクエストを受け取り指定されたURLへアクセスを実行してしまう可能性があるということです。
対策として、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけられています。深刻度を表すCVSSv3の基本値は3.1で、4番目に高い「注意」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-41918」で検索してみてください。
発見された脆弱性の内容
アクセス制限不備の脆弱性によって、フィッシング詐欺などの被害を受ける可能性があります。
まず、スマートフォンアプリで発生するアクセス制限不備の脆弱性とは、Custom URL Schemeの不備によって発生するものです。Custom URL Schemeとは、特定のアプリを起動したり、アプリ内で特定の処理を実行するために、アプリごとに独自に定義されたURLスキームのことです。
例えば、ブラウザに入力するURLは「https」で始まることが多くなりますが、Custom URL Schemeの場合は、httpsの代わりに任意の文字列で表されます。このスキームをブラウザのアドレスバーに入力したり、他のアプリから呼び出すことで、指定したアプリの特定の機能を呼び出すことができます。
アクセス制限不備の脆弱性があると、このCustom URL Schemeに対して、誰でも自由にアクセスし、任意の処理を実行できてしまう可能性があります。本来、特定のアプリからしか呼び出せないはずの機能が、外部の攻撃者からも呼び出せてしまうため、様々な悪用ができる場合があります。具体的には、メールの本文などから特定のアプリのCustom URL Schemeを呼び出すリンクをクリックさせ、偽のログイン画面を表示させる悪意のあるWebサイトをアプリ内で表示させることで、フィッシング詐欺などのサイバー攻撃に利用される可能性があります。