Androidアプリの96％に何らかの脆弱性――SDNAが調査

[エースラッシュ，ITmedia]

「Androidアプリ脆弱性調査レポート 2013年10月版」

　ソニーデジタルネットワークアプリケーションズ（SDNA）は10月30日、「Androidアプリ脆弱性調査レポート 2013年10月版」を公開した。

　この調査は、マーケットに公開しているアプリから、カテゴリごと人気上位100位から抽出した全6170件のアプリを対象としたもの。抽出期間は8月28日まで。分析方法は、日本スマートフォンセキュリティ協会の「Android アプリのセキュア設計・セキュアコーディングガイド」を判断基準とし、同社のアプリ解析ツール「Secure Coding Checker」の解析エンジンをカスタマイズして行った。

　このうち、5902件（96％）が何らかの脆弱性を持っている可能性があると判明した。インターネット通信をするアプリは5632件（91％）で、HTTPSによる通信内容の保護を行っていたのは4030件（72％）と大多数だったが、1585件（39％）が誤った扱い方のため暗号通信が解読・改ざんされるリスクがあった。

96％のアプリになんらかの脆弱性があり、約4割が解読・改ざんのおそれがあった。また9割近いアプリでコンポーネントのアクセス制御に不備が見つかった

　また5456件（88％）のアプリはコンポーネントのアクセス制御が正しく行われていなかったほか、機密情報を含む可能性があるためアプリに使用してはならないログ出力関数が残っているケースも5300件（86％）あった。コンポーネントのアクセス制御とアプリ公開時のログ出力の無効化はセキュアコーディングガイドでも啓発している内容だが、開発者に必要性が広く認識されていない現状が浮かび上がった。

　リポートでは分析結果の説明に加え、開発者が脆弱性に対処するための「実践的な脆弱性対策」を解説している。

カテゴリー別の脆弱性リスク。すべてのカテゴリーのアプリで対策が遅れている

　またSDNAでは同日から、サイトに潜むセキュリティ上の問題点を検出し、診断する「Webアプリケーション診断」の提供を開始した。セキュアスカイ・テクノロジーが開発した診断用ツールを利用することで、脆弱性を高い確率で検出。問題点や評価、具体的な対策案などをまとめた報告書を提出し、改修時の対応や再診断を無償で実施するなどのフルサポートを提供する。