公式アプリに、ハードコードされた暗号鍵の使用の脆弱性が存在
JVN(Japan Vulnerability Notes)は11/20に、株式会社EPARKが提供するAndroidアプリ「くら寿司 公式アプリ Produced by EPARK」には、ハードコードされた暗号鍵の使用の脆弱性が存在します。と公表した。
株式会社EPARKが提供するAndroidアプリ「くら寿司 公式アプリ Produced by EPARK」には、ハードコードされた暗号鍵の使用(CWE-321)の脆弱性が存在し、当該製品のログイン用IDとパスワードを取得される可能性があるため、Androidアプリ「くら寿司 公式アプリ Produced by EPARK」バージョン 3.8.5へのアップデートをする必要があります。
これは企業のセキュリティ担当のうち、開発プロダクトのセキュリティインシデントとなります。通常はプログラムに可読性のある状態でサービスの鍵を入れる事はないのですが、暗号鍵が入ってしまったとのことです。開発上の手続きや手順及びそれらのレビューにミスがあったのだと思います。
https://jvn.jp/jp/JVN16114985/index.html
JVN#16114985
« 餃子専門店が、公式アプリ会員へ送信したメールでメールアドレスが流出した | トップページ | 手紙に印刷されたQRコードを使用するフィッシング詐欺について注意喚起 »
「column」カテゴリの記事
- 求人サイトの管理パスワードが「123456」(2025.07.18)
- QRコードを利用したフィッシングは「クイッシング」(2025.07.16)
- 攻撃が予告されているのに...(2025.07.07)
- ドメインを勝手に放棄すると詐欺に加担する?(2025.07.03)
- 削除型ランサム(2025.06.16)
« 餃子専門店が、公式アプリ会員へ送信したメールでメールアドレスが流出した | トップページ | 手紙に印刷されたQRコードを使用するフィッシング詐欺について注意喚起 »
コメント