Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

人気Androidアプリの9割以上に脆弱性 - 「情報漏洩」や「なりすまし」のおそれ

一般に公開されている9割以上のAndroidアプリに、なんらかの脆弱性が含まれていることがわかった。開発者に知識があれば容易に防げる脆弱性も少なくなく、開発段階のまま公開し、脆弱性が潜在しているケースもある。

ソニーデジタルネットワークアプリケーションズ(SDNA)が、Google Playにおいて8月28日までに公開されていた人気アプリ6170件を対象に、脆弱性の実態について調査を実施したもの。

調査にあたっては、SDNAのアプリ解析エンジン「Secure Coding Checker」を用い、日本スマートフォンセキュリティ協会(JSSEC)が公開している「Androidアプリのセキュア設計・セキュアコーディングガイド」に準拠しているか調べた。

20131030sd_001.jpg
脆弱性リスクのあるアプリの割合(グラフ:SDNA)

同調査では、調査対象となったアプリの96%にあたる5902件から、1件以上の脆弱性が検出された。同社によれば、アプリのカテゴリにおける大きな偏りは見られず、分野や業種問わず、全般的に脆弱性対策が遅れていることがわかったという。

アプリを構成するコンポーネントのアクセス制御に問題があるアプリは、5456件で88%に及んだ。悪意あるアプリからコンポーネントが利用された場合、「情報漏洩」や「なりすまし」などの被害に遭う可能性がある。

20131030sd_002.jpg
コンポーネントのアクセス制御不備(グラフ:SDNA)

通信面では、5632件のアプリがインターネット通信を活用しており、72%にあたる4030件がHTTPSによる暗号通信を利用。25%は、HTTP通信を利用しているが、なかには保護すべき情報を平文で送信するアプリもあった。

HTTPSを利用しているアプリに関しても、39%がサーバ証明書の正当性について検証を無効化した状態でHTTPS通信を実装。通信内容の盗聴や改ざんなどのリスクを抱えていた。

こうした現状について、SDNAでセキュリティコンサルタントを務める西村宗晃氏は、「開発者が動作確認を行う際にあえてセキュリティを無効化し、いわゆるオレオレ証明書を利用してチェックを行い、修正せずにそのまま公開してしまっている」と原因を分析する。

さらに不正なページを閲覧することで、任意のJavaコードが実行されてしまう「WebView」のAPIを実装していたアプリは、49%にのぼった。

またログ出力に関しても開発時の状態のままリリースしているケースが目立つ。ログレベル設定に誤りがあるケースを見ると、デバッグ情報が含まれ、本来リリース版に使用すべきではないログ関数を用いていたケースが、5300件となり、全体の86%と8割を超える。

西村氏は、「アプリの脆弱性を狙うマルウェアは現状少なく、すぐに悪用されるとは限らないが、今後こうした脆弱性が攻撃対象となりうる」と危険性を指摘。知識さえあれば容易に修正できる脆弱性も多いとして、「Androidアプリのセキュア設計・セキュアコーディングガイド」の活用など、開発者に脆弱性対策を呼びかけている。

(Security NEXT - 2013/10/30 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Microsoft Edge」にアップデート - 脆弱性4件を解消
MS、ブラウザ「Edge」の脆弱性を修正 - Android版は更新版を準備中
QNAP、アドバイザリ4件を公開 - 「QTS」の深刻な脆弱性など解消
「Google Pixel」や「SureLine OS」の脆弱性悪用に注意喚起 - 米当局
「Microsoft Edge」にセキュリティアップデート - 脆弱性3件を修正
Android版「メルカリ」アプリに脆弱性 - アップデートの実施を
VMwareのAndroid端末管理製品に脆弱性 - アップデートを提供
米当局、Qualcomm製チップやApple製品の脆弱性狙う攻撃に注意喚起
米当局、「ownCloud」など脆弱性2件の悪用に注意喚起
Intel、セキュリティアドバイザリ31件を公開 - 重要度「クリティカル」も