Androidアプリに大手サービスの「鍵」をハードコード、AWSアカウントにアクセスも
大手サードパーティーのサービスにアクセスできるAPIキーなどがハードコードされたAndroidアプリが多数見つかった。
米セキュリティ企業Fallibleは、Androidアプリをリバースエンジニアリングして調べた結果、大手サードパーティーのサービスにアクセスできるAPIキーなどがハードコードされたアプリが多数見つかったと報告した。Amazon Web Services(AWS)などのサービスに保存した情報が危険にさらされる恐れもあると警鐘を鳴らしている。
同社は2016年11月に、Androidアプリのセキュリティ問題をチェックする目的でリバースエンジニアリングツールを開発し、Webベースツールとして公開。同ツールを使ってユーザーが調べた約1万6000本のアプリを分析した。
その結果、1万6000本のうち約2500本で、サードパーティーのサービスにアクセスするためのAPIキーやトークンがハードコードされているのが見つかった。中でも304本からは、本来ならアプリにハードコードすべきではない大手サードパーティーサービスのAPIキーなどが見つかったという。
こうしたアプリでは、例えばUberのAPIを利用し、Uberのアプリ経由でアプリ内通知を送信することが可能だった。
AWSのアクセスキーがハードコードされたアプリの中には、インスタンスの作成や削除が可能な特権を持つものもあったという。
ほかにもTwitterやInstagram、Dropboxといった人気サービスのAPIキーやトークンがハードコードされたアプリが見つかったといい、Fallibleではアプリ開発者に対し、「アプリにAPIキーやトークンをハードコードする場合、本当にハードコードが必要なのかをよく考える必要がある」と呼び掛けている。
関連記事
Android端末のファームウェアに隠し機能、ユーザー情報を中国に送信
米国で販売されていたAndroid端末のファームウェアをセキュリティ企業が調べた結果、SMSの本文や連絡先、通話履歴などの情報が中国のサーバに送信されていたことが分かった。
Androidをroot化する不正アプリ、Google Playも悪用して拡散
Androidをroot化して不正なアプリをインストールしてしまうモバイルマルウェア「Godless」が見つかった。
そのまとめ記事の神アプリ、セキュリティは大丈夫?
世の中には便利なアプリやツールがあふれており、検索すればそんなアプリがたくさんヒットし、すぐ使うことができます。でも、ちょっと待って。気をつけないと、そこには落とし穴も……。
Qualcomm採用のAndroid端末に情報漏えいの脆弱性、旧機種多数に影響
脆弱性は5年近く前から存在し、古い端末ではメーカーからパッチが提供されない可能性がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。