OpenSSLの脆弱性はAndroidアプリも注意、1億5000万ダウンロードに影響か

「Heartbleed検出器」をうたうアプリでも、実際に脆弱性を抱えるアプリまで調べるものは半分以下だった。

[ITmedia]

　「Heartbleed」と称されるOpenSSLの脆弱性問題ではWebサイトのみならず、多数のAndroidアプリでも対策が必要な状況にあるという。セキュリティ企業の米FireEyeによれば、少なくとも脆弱性の影響を受けるアプリのダウンロードが1億5000万件に上ることが分かった。

　脆弱性はOpenSSLの「heartbeat」という拡張機能の実装に起因するもので、OpenSSL 1.0.1〜1.0.1fに存在する。Androidではバージョン4.1.0〜4.1.1が影響を受けるとされる。それ以外のAndroidのバージョンでもOpenSSL 1.0.1〜1.0.1fが使われている場合があるものの、heartbeat拡張が無効化されて、実質的な影響は受けないとされる。一方、サーバ通信などを伴うアプリではOpenSSLが使われているものもあり、脆弱性の影響を受ける可能性がある。

　FireEyeは4月10日に、Google Playで公開されている1万ダウンロード以上の5400種類のアプリを検査したところ、この脆弱性を受ける範囲は2億2000万ダウンロードに達する可能性のあることが分かった。その後、同社はアプリ開発者などに対策を促したが、それでも1億5000万ダウンロードに影響するかもしれないという。

　また、Google Playでは「Heartbleed detectors（Heartbleed検出器）」をうたうセキュリティアプリが公開されており、同社では17アプリについてその機能を検査。その結果、Android OSとインストールアプリの脆弱性状況を調べるものは6アプリにとどまり、うち2つのアプリでは脆弱性が存在するにもかかわらず、スキャン結果で「全てのアプリが安全」と誤ったレポートをユーザーに表示していた。

　脆弱性の影響を受けるアプリの大半はゲームで、同社は「ゲームアプリ自体にあまり情報が無い場合でも、認証情報などが盗まれればアカウント情報が流出したり、ソーシャル機能があればその情報までも漏えいする恐れがある」としている。