ニュース

96%のアプリに何らかの脆弱性、SDNA「Androidアプリ脆弱性調査レポート」

 ソニーデジタルネットワークアプリケーションズ株式会社(SDNA)は30日、マーケットに公開されているAndroidスマートフォンアプリケーション(apkファイル)から、「脆弱性のあるアプリ」の動向について分析した結果をまとめた「Androidアプリ脆弱性調査レポート 2013年10月版」を公開した。

 調査は、一般社団法人日本スマートフォンセキュリティ協会(JSSEC)の「Android アプリのセキュア設計・セキュアコーディングガイド」を判断基準とし、SDNAの脆弱性検査ツール「Secure Coding Checker」の解析エンジンを適宜カスタマイズして、Androidアプリの脆弱性を調べたもの。調査対象は、2013年8月28日までに取得したapkファイル6170件。マーケットに公開されているカテゴリーごとに人気の上位100位までを選択して抽出した。

 調査の結果、暗号通信が解読・改ざんされるリスクのある脆弱性や、アプリ内のコンポーネントが他のアプリから勝手に利用される可能性のある脆弱性、不適切なログ出力など、何らかの脆弱性を持っている可能性のあるアプリは、調査対象全体の96%(5902件)に上ったという。

 調査対象のうち、インターネット通信を行うアプリは5632件(91%)あり、4030件(72%)がHTTPSによる通信内容の保護を行っていたが、誤った扱い方をしているために暗号通信が解読・改ざんされるリスクのあるアプリケーションが1585件(39%)あった。

 Androidアプリは、4種類のコンポーネント(部品)を組み合わせて作成するが、アプリ内のコンポーネントが他のアプリから勝手に利用されると、コンポーネント内で扱う情報が漏えいするなどの被害につながることがある。しかし、調査では5456件(88%)のアプリが正しくアクセス制御されておらず、アクセス制御の必要性が開発者に広く認識されていないと分析している。

 また、ユーザーや他のアプリケーションが参照可能なログ情報は、機密情報を含むこともあるため、リリース版アプリでは使用してはいけないログ出力関数があるが、5300件(86%)のアプリで禁止されたログ出力関数が見つかっており、この点も開発者にはあまり認知されていないとしている。

 SDNAでは、脆弱性のないアプリを作るためにはセキュリティの知識を得ることが必要で、JSSEC発行のセキュアコーディングガイドや解説DVD、検査ツール「Secure Coding Checker」を使うことを、実践的な脆弱性対策として挙げている。

(三柳 英樹)