JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は11月5日、「JVN#00414047: スマートフォンアプリ「Studyplus(スタディプラス)」に外部サービスの API キーがハードコードされている問題」において、学習管理スマートフォンアプリ「Studyplus(スタディプラス)」に外部サービスのAPIキーがハードコードされていると伝えた。
アプリ内のデータを解析された場合、外部サービスと連携するためのAPIキーが不正に窃取される危険性がある。ただし、この脆弱性によって利用者が直接影響を受けることはないほか、該当するAPIキーは無効化されておりこれから悪用することは困難だと考えられる。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- iOSアプリ「Studyplus(スタディプラス)」8.29.0 およびそれよりも前のバージョン
- Androidアプリ「Studyplus(スタディプラス)」6.3.7 およびそれよりも前のバージョン
-
JVN#00414047: スマートフォンアプリ「Studyplus(スタディプラス)」に外部サービスの API キーがハードコードされている問題
JPCERTコーディネーションセンター(JPCERT/CC)は必要に応じてアップデートを適用することを推奨している。
