「くら寿司 公式アプリ」Android版に脆弱性 - 暗号鍵をハードコード

EPARKが提供する「くら寿司 公式アプリ Produced by EPARK」のAndroid版に脆弱性が明らかとなった。アップデートが提供されている。

脆弱性情報のポータルサイトであるJVNによれば、ハードコードされた暗号鍵を使用している脆弱性「CVE-2024-52614」が判明したもの。

攻撃者が暗号鍵を特定してアプリ内の通信を解読されると、利用者のログイン用IDやパスワードが取得されるおそれがある。JPCERTコーディネーションセンターによる共通脆弱性評価システム「CVSSv3.0」のベーススコアは「4.0」とした。

同脆弱性は、ラックの西村怜二氏が情報処理推進機構（IPA）へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。脆弱性を修正した「バージョン3.8.5」がリリースされており、アップデートが呼びかけられている。

（Security NEXT - 2024/11/21 ） ツイート

PR

関連記事

「Chrome」にアップデート - 「WebGPU」「V8」の脆弱性を解消
職員アカウントが侵害、迷惑メールの踏み台に - 中部生産性本部
SAP、月例パッチで脆弱性15件を修正 - 「クリティカル」も
非常用個人情報を電車に置き忘れ、車庫で回収 - 静岡市
AppleやGladinet製品の脆弱性悪用に注意喚起 - 米当局
「iOS」にアップデート - 「WebKit」のゼロデイ脆弱性2件など修正
複数サーバやPCがランサム被害、影響など調査 - 三晃空調
ConnectWise「ScreenConnect」のサーバコンポーネントに脆弱性
「Node.js」のアップデート、公開を延期 - 週内にリリース予定
「macOS Tahoe 26.2」で脆弱性47件を修正 - 「Safari」も更新