IPA、Androidアプリの脆弱性で7割占めるアクセス制限ミスの対策を解説 - チェックリストも用意

情報処理推進機構（IPA）は、Androidにおいて脆弱性を作り込みやすいポイントについて解説した技術レポートを公開した。簡易チェックリストも付属する。

同レポートは、2012年5月末までに同機構が届け出を受けた脆弱性42件について分析し、取りまとめたもの。届け出の7割超が、「アクセス制限の不備」による脆弱性だった。

同不備をさらに大きくわけると、本来アクセスが制限されるべき「アプリのコンポーネント」へアクセスできてしまうケースと、「アプリが生成したファイル」に対する制御が行われていないケースに大別できるという。

いずれも、Androidの機能を正しく理解していれば避けられる問題だが、脆弱性の届け出が多く寄せられており、開発者に周知されていないと同機構では指摘。今回同レポートに解説を取りまとめた。

同レポートにおいて、Androidのしくみやセキュリティ設定の考え方のほか、5件の事例をまじえて、攻撃のシナリオや脆弱性を作り込まないポイントを紹介。またセキュリティ対策の実装状況を確認できる簡易チェックリストを用意している。

（Security NEXT - 2012/06/13 ）ツイート