Androidアプリに大手サービスの「鍵」をハードコード、AWSアカウントにアクセスも
大手サードパーティーのサービスにアクセスできるAPIキーなどがハードコードされたAndroidアプリが多数見つかった。
米セキュリティ企業Fallibleは、Androidアプリをリバースエンジニアリングして調べた結果、大手サードパーティーのサービスにアクセスできるAPIキーなどがハードコードされたアプリが多数見つかったと報告した。Amazon Web Services(AWS)などのサービスに保存した情報が危険にさらされる恐れもあると警鐘を鳴らしている。
同社は2016年11月に、Androidアプリのセキュリティ問題をチェックする目的でリバースエンジニアリングツールを開発し、Webベースツールとして公開。同ツールを使ってユーザーが調べた約1万6000本のアプリを分析した。
その結果、1万6000本のうち約2500本で、サードパーティーのサービスにアクセスするためのAPIキーやトークンがハードコードされているのが見つかった。中でも304本からは、本来ならアプリにハードコードすべきではない大手サードパーティーサービスのAPIキーなどが見つかったという。
こうしたアプリでは、例えばUberのAPIを利用し、Uberのアプリ経由でアプリ内通知を送信することが可能だった。
AWSのアクセスキーがハードコードされたアプリの中には、インスタンスの作成や削除が可能な特権を持つものもあったという。
ほかにもTwitterやInstagram、Dropboxといった人気サービスのAPIキーやトークンがハードコードされたアプリが見つかったといい、Fallibleではアプリ開発者に対し、「アプリにAPIキーやトークンをハードコードする場合、本当にハードコードが必要なのかをよく考える必要がある」と呼び掛けている。
関連記事
- Android端末のファームウェアに隠し機能、ユーザー情報を中国に送信
米国で販売されていたAndroid端末のファームウェアをセキュリティ企業が調べた結果、SMSの本文や連絡先、通話履歴などの情報が中国のサーバに送信されていたことが分かった。 - Androidをroot化する不正アプリ、Google Playも悪用して拡散
Androidをroot化して不正なアプリをインストールしてしまうモバイルマルウェア「Godless」が見つかった。 - そのまとめ記事の神アプリ、セキュリティは大丈夫?
世の中には便利なアプリやツールがあふれており、検索すればそんなアプリがたくさんヒットし、すぐ使うことができます。でも、ちょっと待って。気をつけないと、そこには落とし穴も……。 - Qualcomm採用のAndroid端末に情報漏えいの脆弱性、旧機種多数に影響
脆弱性は5年近く前から存在し、古い端末ではメーカーからパッチが提供されない可能性がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.