Retty株式会社が提供するスマートフォンアプリ「Retty」には、Custom URL Scheme により当該アプリが起動され指定された任意の URL にアクセスさせられる問題(CVE-2021-20747)と外部サービスの API キーがハードコードされている問題(CVE-2021-20748)が存在する。
想定される影響は各脆弱性により異なるが、遠隔の第三者によって当該製品を経由し任意のWebサイトにアクセスさせられフィッシング等の被害にあう(CVE-2021-20747)、アプリ内のデータを解析され外部サービスと連携するための API キーが不正に窃取される(CVE-2021-20748)などの影響を受ける可能性がある。なお「CVE-2021-20748」は、製品利用者が直接影響を受けることはない。
![航空向けシステム会社 SITA 社への攻撃 中国 Winnti グループの仕業と判明/FancyBear や Lazarus 騙るギャングが DDoS 恐喝 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/34947.jpg)
