Android アプリ「ヨドバシ」におけるアクセス制限不備の脆弱性(JVN#32396594)2020年09月08日 00時00分00秒

東京メトロ新宿駅のJR貨物の広告(EF510-1):Huawei P20 lite(ANE-LX2J)、3.81mm(35mm版26mm相当)、F2.2開放、1/33.3秒、ISO160、プログラムAE、AWB

昨日のニュースなのだが、忙しくて更新できなかった。一日経ったがそんなに知られている感じでもないので記事にしておこうと思う。

JVN#32396594 Android アプリ「ヨドバシ」におけるアクセス制限不備の脆弱性(IPAセキュリティセンター)によると以下のようだ。

JVN#32396594
Android アプリ「ヨドバシ」におけるアクセス制限不備の脆弱性 ぱら 概要:Android アプリ「ヨドバシ」には、アクセス制限不備の脆弱性が存在します。

影響を受けるシステム:Android アプリ「ヨドバシ」 バージョン 1.8.7 およびそれ以前

詳細情報:株式会社ヨドバシカメラが提供する Android アプリ「ヨドバシ」には、Intent を使用してリクエストされた URL にアクセスする機能が実装されています。この機能には、任意のアプリから Intent を受け取り、任意の URL へのアクセスを行ってしまう、アクセス制限不備の脆弱性 (CWE-284) が存在します。

想定される影響:遠隔の第三者によって、当該製品を経由し任意のウェブサイトにアクセスさせられる可能性があります。結果として、フィッシングなどの被害にあう可能性があります。

対策方法:アップデートする 開発者が提供する情報をもとに、最新バージョンへアップデートしてください。

ベンダ情報 ベンダ ステータス ステータス 最終更新日 ベンダの告知ページ 株式会社ヨドバシカメラ 該当製品あり 2020/09/07 株式会社ヨドバシカメラ の告知ページ

個人的にはスマホではヨドバシドットコムも含めて買い物はしないようにしている。PCでするようにしている。ただ、このあいだ家人がロジクールのBluetoothマウスM337を買うときにヨドバシの店頭には希望の色の製品がなかったが、ヨドバシドットコムには希望の色の製品があったので、ヨドバシカメラの実店舗の入口脇でスマホから購入した。この場合ブラウザから購入した。これが唯一の例外。

スマホから買い物しないのは、購入履歴などがスマホから情報取得されて広告などに利用されたりしてウザいからだ。Windows PCのブラウザ経由の方がその辺はコントルールし易い。

ということで、Android アプリ「ヨドバシ」をご利用の方はすみやかにアップデートしてくだされ。


写真は記事とは関係ない。東京メトロ新宿駅のJR貨物の広告(EF510-1):Huawei P20 lite(ANE-LX2J)、3.81mm(35mm版26mm相当)、F2.2開放、1/33.3秒、ISO160、プログラムAE、AWB

改札脇にどーんと赤い電気機関車が持ち上げられて台車と分離されてる写真。思わずシャッター切ってしまう(笑)。誰にアピールしている広告なのか(笑)。写っているEF510形電気機関車は、JR東日本の500番台が寝台特急カシオペアを牽引していたが、これはJR貨物所有の0番台でかつ先行量産機の1号機のようだ。なお、JR東日本のEF510 500番台の電気機関車も、寝台特急の全廃を受けてJR貨物に売却されたようだ。

【関連追記】
R貨物「鉄の道。」ムービー
JR貨物、新企業広告「鉄の道。」公開 全国主要駅に掲出(レイルラボ)「JR貨物は、新しい企業広告「鉄の道。」を公開しました。広告は、2020年9月13日(日)まで、札幌駅、仙台駅、東京駅、名古屋駅、大阪駅、広島駅、小倉駅、博多駅など全国の主要駅に掲出されます。」

Google
WWW を検索 haniwa.asablo.jp を検索
asahi-net.or.jp/~sp5j-hys/ を検索
※ブラウザで「保護されていない接続」「安全ではありません」などの表示が出る場合はSSL対応のhttps://haniwa.asablo.jp/blog/の方にアクセスしてください。お気に入り・ブックマークもSSL対応の方に変更をお願いします。(2021/02/23)