多数のAndroidアプリにSSL関連の脆弱性、日米機関が注意喚起

脆弱性のあるアプリを使用すると、SSL通信の内容を盗み見されたり、改ざんされたりするなどの恐れがある。

[ITmedia]

　多数のAndroidアプリでSSL証明書を適切に検証しない脆弱性が報告され、米セキュリティ機関のCERT/CCや情報処理推進機構、JPCERT コーディネーションセンターなどが9月4日までに、相次いで注意を呼び掛けた。

　各機関によれば、脆弱性を抱えたアプリでHTTPS通信を行った場合にSSL証明書が適切に検証されず、「中間者攻撃」などの手法によって、第三者に通信内容を盗聴されたり改ざんされたりする恐れがある。具体的な影響はアプリによって異なるという。

　CERT/CCは、Google Playで公開されている340種類以上のアプリについて調査結果を公開。情報処理推進機構とJPCERT コーディネーションセンターは、この脆弱性の影響を受ける13アプリの情報を公開した。

　各機関ではユーザーにアップデートの確認と適用を呼び掛けており、脆弱性が未修正の場合は利用を中止するか、信頼できないネットワークでの利用を控えてほしいと注意を促す。アプリと同等のサービスをWebブラウザで利用できる場合もあるとアドバイスしている。