Android向け人気アプリの多くで情報流出の恐れ、SSLの不適切な実装問題を研究者が指摘

Google Playからダウンロードした人気無料アプリ1万3500本のうち、8％に当たる1074本に、中間者攻撃に対して潜在的に脆弱なSSL/TLSコードが含まれていることが分かった。

[鈴木聖子，ITmedia]

　米Googleの公式アプリ販売サービス「Google Play」で配布されている無害なAndroidアプリの多くに、SSL/TLSの不適切な実装に起因する潜在的なセキュリティ問題があることが分かったとして、ドイツの研究チームが論文を公開した。この問題を悪用した中間者攻撃により、個人情報などが流出する恐れもあるとしている。

　論文を公開したのはドイツのライプニッツ大学とマールブルク大学の研究チーム。Google Playから人気無料アプリ1万3500本をダウンロードして、SSL/TLSプロトコルの利用状況を分析した。

　特に、SSLの不適切な実装に起因する中間者攻撃の脆弱性を検出するツール「MalloDroid」を使って調べたところ、調査したアプリの8％に当たる1074本に、中間者攻撃に対して潜在的に脆弱なSSL/TLSコードが含まれていることが分かった。

　さらに100本のアプリについて詳しく調べた結果、SSL/TLSの不適切な実装がさまざまな形態で発見され、このうち41本では、実際に中間者攻撃を仕掛けてクレジットカードや銀行口座、Facebook、Twitter、Google、Yahoo、Microsoftといった大手のサービスへのログイン情報を取得することに成功したという。

　さらに、ウイルス対策アプリにウイルス定義ファイルを挿入し、任意のアプリをウイルスとして認識させたり、ウイルス検出機能を完全に無効化したりすることもできてしまったと報告している。

　研究チームはこの結果を受けて、「Google PlayはAppleのApp Storeと違って比較的オープンで無制限であり、これによって開発者とユーザーの柔軟性と自由度が高まっている半面、重大なセキュリティ問題も生み出している」と指摘する。論文では、問題の発生を防ぐための対策も紹介している。