Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

人気Androidアプリの9割以上に脆弱性 - 「情報漏洩」や「なりすまし」のおそれ

一般に公開されている9割以上のAndroidアプリに、なんらかの脆弱性が含まれていることがわかった。開発者に知識があれば容易に防げる脆弱性も少なくなく、開発段階のまま公開し、脆弱性が潜在しているケースもある。

ソニーデジタルネットワークアプリケーションズ(SDNA)が、Google Playにおいて8月28日までに公開されていた人気アプリ6170件を対象に、脆弱性の実態について調査を実施したもの。

調査にあたっては、SDNAのアプリ解析エンジン「Secure Coding Checker」を用い、日本スマートフォンセキュリティ協会(JSSEC)が公開している「Androidアプリのセキュア設計・セキュアコーディングガイド」に準拠しているか調べた。

20131030sd_001.jpg
脆弱性リスクのあるアプリの割合(グラフ:SDNA)

同調査では、調査対象となったアプリの96%にあたる5902件から、1件以上の脆弱性が検出された。同社によれば、アプリのカテゴリにおける大きな偏りは見られず、分野や業種問わず、全般的に脆弱性対策が遅れていることがわかったという。

アプリを構成するコンポーネントのアクセス制御に問題があるアプリは、5456件で88%に及んだ。悪意あるアプリからコンポーネントが利用された場合、「情報漏洩」や「なりすまし」などの被害に遭う可能性がある。

20131030sd_002.jpg
コンポーネントのアクセス制御不備(グラフ:SDNA)

通信面では、5632件のアプリがインターネット通信を活用しており、72%にあたる4030件がHTTPSによる暗号通信を利用。25%は、HTTP通信を利用しているが、なかには保護すべき情報を平文で送信するアプリもあった。

HTTPSを利用しているアプリに関しても、39%がサーバ証明書の正当性について検証を無効化した状態でHTTPS通信を実装。通信内容の盗聴や改ざんなどのリスクを抱えていた。

こうした現状について、SDNAでセキュリティコンサルタントを務める西村宗晃氏は、「開発者が動作確認を行う際にあえてセキュリティを無効化し、いわゆるオレオレ証明書を利用してチェックを行い、修正せずにそのまま公開してしまっている」と原因を分析する。

さらに不正なページを閲覧することで、任意のJavaコードが実行されてしまう「WebView」のAPIを実装していたアプリは、49%にのぼった。

またログ出力に関しても開発時の状態のままリリースしているケースが目立つ。ログレベル設定に誤りがあるケースを見ると、デバッグ情報が含まれ、本来リリース版に使用すべきではないログ関数を用いていたケースが、5300件となり、全体の86%と8割を超える。

西村氏は、「アプリの脆弱性を狙うマルウェアは現状少なく、すぐに悪用されるとは限らないが、今後こうした脆弱性が攻撃対象となりうる」と危険性を指摘。知識さえあれば容易に修正できる脆弱性も多いとして、「Androidアプリのセキュア設計・セキュアコーディングガイド」の活用など、開発者に脆弱性対策を呼びかけている。

(Security NEXT - 2013/10/30 ) このエントリーをはてなブックマークに追加

PR

関連記事

「VMware AirWatch」のコンソールなどに脆弱性 - アップデートが公開
【訂正あり】無線LANの「WPA2」で盗聴や改ざん可能となる「KRACK」 - 多数機器に影響
ペアリング不要、近隣端末を「Bluetooth」乗っ取れる「BlueBorne」 - 53億台に影響か
「ウイルスバスター」に新版 - 機械学習と従来技術併用の強みを強調
「Adobe Digital Editions」に深刻な脆弱性 - スマホ版にも影響
「Adobe Digital Editions」に複数の深刻な脆弱性
「サイボウズ KUNAI for Android」のログ機能に脆弱性
日産証券の商品先物トレーディングアプリ旧版に盗聴のおそれ
Adobe、電子書籍ビューワのアップデートを公開 - 脆弱性9件を修正
民放公式アプリ「TVer」Android版に脆弱性 - 修正版がリリース