Androidアプリがまたもや脆弱性の存在を指摘されている。
ドイツにあるライプニッツ大学ハノーバーおよびフィリップ大学マールブルクのセキュリティ研究チームが先ごろ、「Google Play」ストアで配布されている正規の無料Androidアプリを対象に、Secure Sockets Layer(SSL)やTransport Layer Security(TLS)といったセキュリティプロトコルへの攻撃に対するレスポンスを解析した研究論文(PDF)を発表した。その結果、調査したアプリの8%がこれらのセキュリティプロトコルを不適切に使用しており、ある程度知識のあるハッカーなら重要データを盗み見られる状態にあることがわかったという。
ただし論文では、これらの脆弱性を意図的に悪用した事例の存在は示唆していない。
SSLとTLSは、ウェブおよびAndroidアプリで広く採用されている一般的なセキュリティプロトコルだ。ネットワーク接続セグメントを暗号化して、重要情報の安全なデータ転送を行うとされる。しかし、研究チームは、ウェブに接続してパスワードやアカウント情報などのデータを転送する必要があるAndroidアプリの中に、SSLとTLSを適切に使用していないものがあると主張している。
研究論文には次のように書かれている。「われわれは中間者攻撃に対する潜在的な脆弱性を検出するツール『MalloDroid』を採用している。解析の結果、調査したアプリのうちの1074本(8.0%)が、中間者攻撃に対して潜在的に脆弱なSSL/TLSコードを含むことが判明した。100本のアプリを選んでさらに手作業で検査したところ、SSL/TLSの不適切な使用がさまざまな形で発見され、うち41本のアプリでは中間者攻撃が成功し、幅広い重要データを収集することができた」
悪いことに、研究者らはこれら41本のアプリに関し、累計インストール数は3950万から1億8500万の間であることを発見した。これは、Google Playストアが提供するアプリダウンロード数の範囲に基づいている。このうち3本のアプリのユーザーインストールベースは1000万から5000万である。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス