Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IPA、Androidアプリの脆弱性で7割占めるアクセス制限ミスの対策を解説 - チェックリストも用意

情報処理推進機構(IPA)は、Androidにおいて脆弱性を作り込みやすいポイントについて解説した技術レポートを公開した。簡易チェックリストも付属する。

同レポートは、2012年5月末までに同機構が届け出を受けた脆弱性42件について分析し、取りまとめたもの。届け出の7割超が、「アクセス制限の不備」による脆弱性だった。

同不備をさらに大きくわけると、本来アクセスが制限されるべき「アプリのコンポーネント」へアクセスできてしまうケースと、「アプリが生成したファイル」に対する制御が行われていないケースに大別できるという。

いずれも、Androidの機能を正しく理解していれば避けられる問題だが、脆弱性の届け出が多く寄せられており、開発者に周知されていないと同機構では指摘。今回同レポートに解説を取りまとめた。

同レポートにおいて、Androidのしくみやセキュリティ設定の考え方のほか、5件の事例をまじえて、攻撃のシナリオや脆弱性を作り込まないポイントを紹介。またセキュリティ対策の実装状況を確認できる簡易チェックリストを用意している。

(Security NEXT - 2012/06/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

3Qの「JVN iPedia」登録は8763件 - 前四半期の6倍に
「CODE BLUE 2024」の講演が決定 - 脅威関連から、AI、情報戦まで
7月は脆弱性14件を「悪用が確認された脆弱性カタログ」に追加 - 米当局
2024年2Qの「JVN iPedia」登録は1463件 - NVDの公開遅延が影響
6月の脆弱性悪用リスト「KEV」への登録は9件
「JVN iPedia」登録、前四半期から4割減 - 累計20万件を突破
最新Androidセキュアコーディングガイドに英語版 - JSSEC
Android 14の変更点をカバー - セキュアコーディングガイド新版
JSSEC、3月に「セキュリティフォーラム2024」開催 - 「生成AI」などテーマに
2023年4Qの「JVN iPedia」登録、前四半期の約1.6倍に