Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IPA、Androidアプリの脆弱性で7割占めるアクセス制限ミスの対策を解説 - チェックリストも用意

情報処理推進機構(IPA)は、Androidにおいて脆弱性を作り込みやすいポイントについて解説した技術レポートを公開した。簡易チェックリストも付属する。

同レポートは、2012年5月末までに同機構が届け出を受けた脆弱性42件について分析し、取りまとめたもの。届け出の7割超が、「アクセス制限の不備」による脆弱性だった。

同不備をさらに大きくわけると、本来アクセスが制限されるべき「アプリのコンポーネント」へアクセスできてしまうケースと、「アプリが生成したファイル」に対する制御が行われていないケースに大別できるという。

いずれも、Androidの機能を正しく理解していれば避けられる問題だが、脆弱性の届け出が多く寄せられており、開発者に周知されていないと同機構では指摘。今回同レポートに解説を取りまとめた。

同レポートにおいて、Androidのしくみやセキュリティ設定の考え方のほか、5件の事例をまじえて、攻撃のシナリオや脆弱性を作り込まないポイントを紹介。またセキュリティ対策の実装状況を確認できる簡易チェックリストを用意している。

(Security NEXT - 2012/06/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

CODE BLUE、全講演者が決定 - 特別講演にAudrey Tang氏
偽不在通知SMSをクリックするとどうなる? - 動画で紹介
2020年2Qの脆弱性登録は4279件 - EOLの「Win 7」は166件
国内モバイル端末狙う攻撃が活発化 - 背景に「Roaming Mantis」
不正送金マルウェア - 企業狙いへシフトか
SMSによる偽不在通知の相談、2年で2000件超
2019年4Qの「JVN iPedia」新規登録は4434件、OS関連の登録目立つ
Androidセキュアコーディングガイドに改訂版 - JSSEC
2019年上半期の攻撃パケット、IPアドレスあたり約48万件
「Android 10」に対応したセキュアコーディングガイド新版