Androidアプリの誤設定で多数のユーザーのデータが危険にさらされている--CPR調査

　サイバーセキュリティ企業のCheck Point Research（CPR）は米国時間5月20日、複数のAndroidアプリを分析したレポートを公開し、アプリ開発者らによるクラウド関連の誤設定によって、1億人を超えるユーザーのデータが危険にさらされていると警告した。

　CPRは、広く普及している複数のモバイルアプリを調査したところ、少なくとも23本から「サードパーティーのクラウドサービスに関する（さまざまな）誤設定」が見つかったとレポートに記している。

　今日のオンラインサービスやアプリではクラウドサービスが広く利用されており、こうした傾向は新型コロナウイルス感染症（COVID-19）のパンデミックで加速されたリモートワークの普及によってさらに強まっていると考えられる。クラウドサービスはデータの管理やストレージ、処理に有用だが、アクセス時や認証時の設定を1つ誤るだけで、保存されている記録が公開状態になったり、流出してしまったりする恐れもある。

　特にアプリは、さまざまなプラットフォームをまたがってデータを保存、同期するリアルタイムデータベースと統合されている場合も多い。しかし調査対象となったアプリの一部では、開発者らが適切な認証メカニズムを設定していなかったという。

　CPRの調査によると、タクシー手配やロゴ作成、画面録画、ファックスサービス、星占いなど、23本のアプリで、電子メールの記録や、チャットメッセージ、位置情報、ユーザーID、パスワード、画像を含むデータが適切に保護されていなかったという。

　このうちの13本では、クラウドの設定がセキュアでないため、機密データが公開状態になっていた。なお、これらアプリそれぞれのダウンロード回数は1万〜1000万回に及んでいる。

　CPRが調査したタクシー手配アプリの場合、アプリのデータベースに簡単な要求を送信するだけで、ドライバーと顧客の間でやりとりされたメッセージや、名前、電話番号、乗車場所および降車場所の情報を入手できたという。

　画面録画アプリとファクスアプリでも、バックエンドでデータ管理機能を提供するクラウドサービスに対するセキュリティ設定が適切になされていなかった。CPRはこれらアプリケーションの構成ファイルを分析することで、保存されている録画やファクスのドキュメントにアクセスするための鍵となる情報を取得できた。

　さらに、アプリ内にプッシュ通知の鍵となる情報が直接書き込まれており、悪用される恐れのあるものもあった。この情報を悪用すれば、アプリのユーザーに対してなりすまし通知を送信できるようになる。

　CPRによると、セキュリティに関するこれらの不具合は、開発者が「サードパーティーのクラウドサービスを自らのアプリケーションから利用する際に求められている、設定や統合にまつわるベストプラクティス」を守っていなかったために引き起こされているという。

　CPRは「リアルタイムデータベースの誤設定は目新しい話ではないものの（中略）問題のスコープは依然としてあまりにも広く、数多くのユーザーに影響を与えるものとなっている」と述べるとともに、「この種のデータが悪意あるアクターの手に落ちた場合、サービススワイプ（同じユーザー名とパスワードの組み合わせで他のサービスへの侵入を試みる行為）や詐欺、なりすまし犯罪に利用される恐れがある」と続けた。

　CPRは設定ミスについて、公開前にアプリ開発者に知らせており、複数が制御を強化している。

　5月に入り、研究者はQualcommのMSMデータサービスと脆弱性の発見について、アドバイザリーを公開した。理論上、Android端末のモデムに悪意のあるコードを挿入したり、改ざんしたりするために悪用される恐れがあるとされている。