「スシロー」のスマートフォンアプリに脆弱性。

株式会社あきんどスシローが提供するスマートフォンアプリ「スシロー」に脆弱性が見つかっております。

 

脆弱性情報

SSL サーバ証明書の検証不備

CVSS v3=4.8

CVSS v2=4.0

 

発見されたシステム・バージョン

  • iOS アプリ「スシロー」 バージョン 2.1.16 およびそれ以前
  • Android アプリ「スシロー」 バージョン 2.1.16.1 およびそれ以前

 

想定される影響

中間者攻撃による暗号通信の盗聴などが行なわれる可能性があります。

 

 

対応方法

開発者情報を元に最新版へアップデートして下さい。

現在の最新版はiOSアプリ、Android アプリ共にバージョン2.1.17です。

以下ダウンロードリンクです。

スシロー – App Store

スシロー – Google Play の Android アプリ

 

アプリにおいての同様の脆弱性が発生したケースですと

 

などがありました。

 

本アプリは寿司のスシローの公式アプリで機能としては

  • 受付・予約機能
  • お持ち帰りすしの注文
  • フェア/メニューの確認
  • 店舗検索
  • 新着情報
  • ポイントためる

です。

 

特に、受付、予約機能は本当に便利です。筆者も利用しております。

利用シーンとしては、「今日食べに行きたいな!」って時に時間指定して受付してもOK。待ちが発生していたらすぐに予約してもOK。その際には席が空く大体の時間が記載されます。

ですので、以前は遠出をしていて自宅近くに夕飯時に向けて帰宅する際に、出先から予約をするのです。すぐに入れそうであれば、到着予定時刻に時間指定すればOKです。

そしてお店に到着後チェックインすれば本当にあまり並ばずにすぐに入れました。

(チェックインとはお客様受付案内台で行う処理のこと。到着していますよという通知。これをしないとキャンセル扱いになるそうなのでご注意を)

 

よく通われる方でまだアプリを使っていない方がいれば是非お勧めです。

 

ご利用の方は、最新版へのアップデートを推奨します。

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています

2022年8月24日

Movable TypeのXMLRPC APIにコマンドインジェクションの脆弱性

2021年12月13日

Java用のログ出力ライブラリ「Log4j」にリモートコード実行の脆弱性

2021年12月2日

Movable TypeのXMLRPC APIにOSコマンドインジェクションの脆弱性