Nike製アプリに脆弱性 - フィッシングに悪用されるおそれ

Nikeのスマートフォンアプリにフィッシング攻撃などへ悪用されるおそれがある脆弱性「CVE-2021-20834」が明らかとなった。

脆弱性情報のポータルサイトであるJVNによれば、オンラインショッピングサービスなども提供する同社アプリ「Nike」において、カスタムURLスキームの処理にアクセス制御不備の脆弱性が判明したもの。

ブラウザなど他アプリからのカスタムURLスキームを用いたリクエストによって、同アプリ経由で任意のウェブサイトへ誘導することが可能。フィッシング攻撃などに悪用されるおそれがある。共通脆弱性評価システム「CVSSv3.0」のベーススコアは「4.3」とレーティングされている。

同社は脆弱性を修正したAndroid版「同2.177」、iOS版「同2.177.1」を8月にリリース済みだが、同脆弱性の修正に関してはリリースノートなどで特に言及されていない。

（Security NEXT - 2021/10/11 ） ツイート

PR

関連記事

「Adobe Acrobat/Reader」がわずか3日で再更新 - 深刻な脆弱性を修正
「Adobe Acrobat/Reader」にゼロデイ脆弱性 - 悪用を確認、緊急更新を
コールセンターの再委託先でランサム被害 - カーシェアリングサービス
米当局、「SharePoint Server」「Excel」の脆弱性悪用に注意喚起
「FortiSandbox」に複数の「クリティカル」脆弱性 - アップデートを
MS、4月の月例パッチで脆弱性167件に対応 - 一部で悪用を確認
「Adobe ColdFusion」に悪用リスク高い脆弱性 - 早急に対応を
保険申込情報流出の可能性、外部から端末を不正操作か - 自動車販売店
女性ファッション誌の編集部かたる偽メールや偽サイトに注意
個人情報を不適切な方法で廃棄、誤った集積所に - 橋本市