Android アプリ「リクナビNEXT」におけるアクセス制限不備の脆弱性

 

Android アプリ「リクナビNEXT」におけるアクセス制限不備の脆弱性について発表

 

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月9日、Android アプリ「リクナビNEXT」におけるアクセス制限不備の脆弱性について「Japan Vulnerability Notes(JVN)」発表をしました。株式会社ラックの小松奈央氏が報告を行っています。
影響を受けるシステムは以下の通りです。

  • Android アプリ「リクナビNEXT」ver. 11.5.0 より前のバージョン

株式会社リクルートが提供する Android アプリ「リクナビNEXT」には、Custom URL Scheme を使用してリクエストされた URL にアクセスする機能が実装されており、
この機能には、任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制限不備の脆弱性 (CWE-939) が存在します。

想定される影響は、遠隔の第三者によって、当該製品を経由し任意のウェブサイトにアクセスさせられ、結果として、フィッシング等の被害にあう可能性があります。

JVNは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけています。なお開発者は、本脆弱性を修正した下記のバージョンをリリースしています。

 

https://jvn.jp/jp/JVN84820712/index.html

著者:nimura