ニュース&トピックス

Android アプリ「メルカリ」 (日本版) において Java オブジェクトの任意のメソッドが実行可能な脆弱性

ニュース

【概要】

株式会社メルカリが提供する Android アプリ「メルカリ」 (日本版) には、WebView クラスの addJavascriptInterface の制限不備に起因して任意の Java メソッドが実行される脆弱性 (CWE-749) が存在します。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社アカツキ 小竹 泰一 氏

【CVSS による深刻度】 (CVSS とは?)

 CVSS v3 による深刻度
 基本値: 5.0 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): 低
 CVSS v2 による深刻度
 基本値: 5.1 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的

【影響を受けるシステム】

株式会社メルカリ
  • メルカリ (日本版) Android アプリ バージョン 3.52.0 より前のバージョン

なお開発者によると、アプリ起動時の強制アップデートにより、現在これらのバージョンを使用することはできないとのことです。

【想定される影響】

中間者攻撃 (Man-In-The-Middle attack) が可能な遠隔の第三者によって、JavaScript コードの Java Reflection API を WebView 上で使用されることで、Java オブジェクトの任意のメソッドを実行される可能性があります。

【対策】

[アップデートする]
本脆弱性は、開発者が提供する最新のバージョンにアプリをアップデートすることで修正されます。
なお開発者によると、本脆弱性の影響を受ける API level は現在採用されておらず、また過去に強制アップデートが実施されており、当該バージョンのアプリを使用することができないため、ユーザはアップデートのための自発的行動を取る必要はありません。

【ベンダ情報】

株式会社メルカリ

【CWEによる脆弱性タイプ一覧】 CWEとは?

  1. その他(CWE-Other) [IPA評価]

【共通脆弱性識別子(CVE)】 CVEとは?

  1. CVE-2020-5604

【参考情報】

  1. JVN : JVN#93167107


出典:JVN iPedia

一覧に戻る