Nike製アプリに脆弱性 - フィッシングに悪用されるおそれ

Nikeのスマートフォンアプリにフィッシング攻撃などへ悪用されるおそれがある脆弱性「CVE-2021-20834」が明らかとなった。

脆弱性情報のポータルサイトであるJVNによれば、オンラインショッピングサービスなども提供する同社アプリ「Nike」において、カスタムURLスキームの処理にアクセス制御不備の脆弱性が判明したもの。

ブラウザなど他アプリからのカスタムURLスキームを用いたリクエストによって、同アプリ経由で任意のウェブサイトへ誘導することが可能。フィッシング攻撃などに悪用されるおそれがある。共通脆弱性評価システム「CVSSv3.0」のベーススコアは「4.3」とレーティングされている。

同社は脆弱性を修正したAndroid版「同2.177」、iOS版「同2.177.1」を8月にリリース済みだが、同脆弱性の修正に関してはリリースノートなどで特に言及されていない。

（Security NEXT - 2021/10/11 ） ツイート

PR

関連記事

メール誤送信で委託先担当者のメアド流出 - 東京都
かんぽ生命を装う偽メールやSMSに注意
「Apache Tomcat」のクラスタリング運用に注意 - 必要に応じて対策を
「EC-CUBE」向けプラグイン「簡単ブログ for EC-CUBE4」に脆弱性
トレンド製「スマートホームスキャナー」のインストーラに脆弱性 - 最新版の利用を
説明会申込フォーム、他者情報が閲覧できる状態に - 大阪産業局
Zyxel製品の深刻な脆弱性、4月に修正済み - 報告者がサイレントパッチの危険性を指摘
一部Facebook連携で別人より個人情報が閲覧可能に - アート販売サイト
メール誤送信、住民のメールアドレスが流出 - 佐那河内村
メールで個人情報含む表計算ファイルを誤送信 - 東京都レクリエーション協会