JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月12日、「JVN#49047921: Android アプリ「ジモティー」に外部サービスの API キーがハードコードされている問題」において、Androidアプリ「ジモティー」に外部サービスのAPIキーがハードコードされている問題が存在すると伝えた。この問題を悪用されると、外部サービスと連携するためのAPIキーが不正に窃取される恐れがある。
-
JVN#49047921: Android アプリ「ジモティー」に外部サービスの API キーがハードコードされている問題
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Androidアプリ「ジモティー」3.7.42より前のバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Androidアプリ「ジモティー」3.7.42
JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。なお、当該するAPIキーはすでに無効化されており、本セキュリティ脆弱性の影響を受けるバージョンのアプリに含まれる情報を悪用することはできないと説明されている。
