独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月9日、スマートフォンアプリ「@cosme(アットコスメ)化粧品・コスメランキング&お買物」におけるアクセス制限不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ラックのPantuhong Sorasiri氏が報告を行っている。影響を受けるシステムは以下の通り。
Androidアプリ「@cosme(アットコスメ)化粧品・コスメランキング&お買物」5.69.0より前のバージョン
iOSアプリ「@cosme(アットコスメ)化粧品・コスメランキング&お買物」6.74.0より前のバージョン
株式会社アイスタイルが提供するスマートフォンアプリ「@cosme(アットコスメ)化粧品・コスメランキング&お買物」には、Custom URL Schemeを使用してリクエストされたURLにアクセスする機能が実装されているが、同機能には任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制限不備の脆弱性が存在する。
想定される影響としては、遠隔の第三者によって当該製品を経由し任意のウェブサイトにアクセスさせられ、フィッシング等の被害にあう可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
