「ぐるなび」アプリに脆弱性【フィッシング被害のおそれ】更新を呼びかけ
スマートフォンアプリ「ぐるなび」には、アクセス制限不備の脆弱性があり、結果として、フィッシングなどの被害にあう可能性があるとして、ぐるなびは2021年4月14日、脆弱性対策情報ポータルサイト上で最新版へのアップデートを呼びかけました。
ぐるなびアプリとは
ぐるなびアプリとは、「感染症対策のあるお店」「個室席」など様々な検索ニーズに合わせた飲食店の検索や予約ができるスマホ向けのアプリです。
見つかった脆弱性
ぐるなびアプリには、リクエストされた URL にアクセスする機能が実装されています。この機能には、任意のアプリからリクエストを受け取りアクセスしてしまう、アクセス制限不備の脆弱性 (CWE-284) がありました。
脆弱性とは、コンピューターのOSやソフトウェアがきちんと仕様通りに作られていても外部から攻撃するときの弱点となるもののことです。
悪意する第三者がこの脆弱性を悪用すると、任意のウェブサイトにアクセスさせられる可能性があり、フィッシングなどにあう可能性があります。
ぐるなび側から脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」に情報提供がありました。
対象のアプリのバージョン
脆弱性が確認されているアプリのバージョンは次の通りです。
- Android アプリ「ぐるなび」 ver.10.0.10 およびそれ以前
- iOS アプリ「ぐるなび」 ver.11.1.2 およびそれ以前
脆弱性への対処法
アプリをダウンロードできるストアで、この脆弱性に対応済みの最新バージョンに更新してください。
