AndroidとiOSアプリ、まだ多数に「FREAK」の脆弱性が存在

Google Playで提供されているAndroid向けの人気アプリ1万985本のうち、11.2％に当たる1228本が、まだFREAK攻撃に対して脆弱な状態にあることが分かった。この1228本のダウンロード総数は63億回を超えているという。

[鈴木聖子，ITmedia]

　通信の暗号化に使われるTLS/SSLの実装に、過去の米国の暗号輸出規制に起因する脆弱性（通称「FREAK」）が見つかった問題で、iOSとAndroid向けの多数のアプリに依然としてこの脆弱性が存在していることが分かったと、セキュリティ企業のFireEyeが3月17日のブログで伝えた。

　FREAKの脆弱性は、米国が1990年代の輸出規制で強度の弱い暗号鍵の使用を義務付けていたことに起因する。輸出規制が解除された後も、OpenSSLなど多くの実装で弱いアルゴリズムがサポートされたまま現在に至っていたことが、3月初旬に判明した。攻撃者がこの問題を悪用すれば、脆弱性のあるクライアントとサーバの間の通信に割り込んで強度の弱い暗号を使用させ、暗号を解除することができてしまう。

脆弱性アプリのカテゴリ別の内訳（FireEyeより）

　FireEyeによれば、AndroidやiOSのパッチがリリースされても、アプリが脆弱性のあるバージョンのOpenSSLライブラリを使っていれば、FREAKの脆弱性の影響を受ける可能性がある。

　同社がGoogle Playで提供されているAndroid向けの人気アプリ1万985本を調べたところ、11.2％に当たる1228本が、まだFREAK攻撃に対して脆弱な状態にあることが分かった。この1228本のダウンロード総数は63億回を超えているという。

　一方、Appleは3月9日にリリースした「iOS 8.2」でFREAKの脆弱性を修正した。しかしFireEyeの調査によれば、人気iOSアプリ1万4079本のうち、5.5％に当たる771本が依然として、iOS 8.2より前のバージョンのiOS上でFREAK攻撃を受ける恐れがあるという。

　こうしたアプリが攻撃されれば、例えば、ショッピングアプリからユーザーのログイン情報やクレジットカード情報が盗まれたり、医療アプリや金融アプリなどから機微な情報が盗まれたりする恐れもある。

　モバイルアプリは攻撃者にとって格好の標的になりかねないとFireEyeは指摘し、アプリ開発者やWebサイト管理者に対し、できるだけ早くFREAKの脆弱性を修正するよう呼び掛けている。