Androidアプリの一部に脆弱性--ドイツの研究チームが指摘

　Androidアプリがまたもや脆弱性の存在を指摘されている。

　ドイツにあるライプニッツ大学ハノーバーおよびフィリップ大学マールブルクのセキュリティ研究チームが先ごろ、「Google Play」ストアで配布されている正規の無料Androidアプリを対象に、Secure Sockets Layer（SSL）やTransport Layer Security（TLS）といったセキュリティプロトコルへの攻撃に対するレスポンスを解析した研究論文（PDF）を発表した。その結果、調査したアプリの8％がこれらのセキュリティプロトコルを不適切に使用しており、ある程度知識のあるハッカーなら重要データを盗み見られる状態にあることがわかったという。

　ただし論文では、これらの脆弱性を意図的に悪用した事例の存在は示唆していない。

　SSLとTLSは、ウェブおよびAndroidアプリで広く採用されている一般的なセキュリティプロトコルだ。ネットワーク接続セグメントを暗号化して、重要情報の安全なデータ転送を行うとされる。しかし、研究チームは、ウェブに接続してパスワードやアカウント情報などのデータを転送する必要があるAndroidアプリの中に、SSLとTLSを適切に使用していないものがあると主張している。

　研究論文には次のように書かれている。「われわれは中間者攻撃に対する潜在的な脆弱性を検出するツール『MalloDroid』を採用している。解析の結果、調査したアプリのうちの1074本（8.0％）が、中間者攻撃に対して潜在的に脆弱なSSL/TLSコードを含むことが判明した。100本のアプリを選んでさらに手作業で検査したところ、SSL/TLSの不適切な使用がさまざまな形で発見され、うち41本のアプリでは中間者攻撃が成功し、幅広い重要データを収集することができた」

　悪いことに、研究者らはこれら41本のアプリに関し、累計インストール数は3950万から1億8500万の間であることを発見した。これは、Google Playストアが提供するアプリダウンロード数の範囲に基づいている。このうち3本のアプリのユーザーインストールベースは1000万から5000万である。