公開日: 2014/12/18  最終更新日: 2014/12/18

株式会社 T-MEDIAホールディングスからの情報

脆弱性識別番号:JVN#97384696
脆弱性タイトル:Android 版 TSUTAYAアプリにおける任意の Java のメソッドが実行される脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

■概要
弊社のAndroidアプリ「TSUTAYAアプリ」において、
WebView(Javaメソッド)の処理の不備が存在することが判明しました。
この脆弱性を悪用された場合、当該アプリ権限での任意のJavaメソッドや
当該アプリに許可されたパーミッションを使用した任意の処理が実行される恐れがあります。

■該当製品の確認方法
影響を受ける製品は以下の製品です。
名称  :TSUTAYAアプリ(Culture Convenience Club Co.,Ltd.)
バージョン  :Android 版 バージョン 5.3 およびそれ以前

■バージョン番号の確認方法

下記のいずれかの方法で確認が可能です。
①アップデートがされていない場合
 アプリのhome画面から「アカウント」を選択。
 TSUTAYAロゴの下にバージョン 5.3 およびそれ以前が明記されます。

②アップデートがされている場合
 TOP画面から左にスワイプするとマイページに移動します。
 マイページ中の「各種設定・ガイド」を選択した際に
 TSUTAYAロゴの下にバージョン 6.1以降が明記されます。
 この場合、本件の脆弱性には該当しません。

■脆弱性がもたらす脅威
第三者により、WebView コンポーネントに読み込まれる、
巧妙に細工された JavaScript コードの Java Reflection API を使用されることで、
Java オブジェクトの任意のメソッドを実行される可能性があります。
また、当該アプリに許可されたパーミッションを使用した任意の処理を実行されたり、
情報を奪取される可能性があります。

■対策方法
①手動でアップデートする場合
 GooglePlayより6.1以降をインストールしアップデートしてください。
 事前に旧バージョンのアプリを削除する必要はなく、
 自動的に上書きされます。
 
②自動アップデート機能を有効にしている場合
 既に6.1以降のアップデートが完了している可能性があります。
 その場合、TOP画面から左にスワイプするとマイページに移動します。
 マイページ中の「各種設定・ガイド」を選択した際に
 TSUTAYAロゴの下にバージョン 6.1以降の表示があった場合、
 本件の脆弱性には該当しません。

【謝辞】
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。

報告者: さくら情報システム株式会社 小池 亮平 氏