アプリ開発支援サービス「アプリカン」にアクセス制限不備の脆弱性 - IPA

情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は9月16日、アプリケーションの開発支援プラットフォーム「アプリカン」におけるアクセス制限不備の脆弱性に関する情報を、JVN (Japan Vulnerability Notes)において公表した。

アプリカンは、ニューフォリアが提供するAndroidおよびiOS向けアプリケーションの開発支援プラットフォーム。アプリカンでは、作成されたアプリケーションが接続可能なサイトを制限するホワイトリスト機能が提供されているが、同機能には、アプリケーションがURLスキームで起動された際、接続制限が行われない問題が存在する。また、アプリカンで作成したAndroidアプリケーションは、アプリケーションの権限で使用可能な任意のAPIを実行される可能性がある。iOSアプリケーションの場合は、iOSで使用可能な任意のAPIを実行される可能性がある。

IPAは、アプリカンを使用したアプリケーションの開発者に対し、ニューフォリアが提供する情報をもとにアプリカンを最新版へアップデートし、当該アプリケーションをリビルドするよう呼びかけている。