Android向け人気アプリの多くで情報流出の恐れ、SSLの不適切な実装問題を研究者が指摘
米Googleの公式アプリ販売サービス「Google Play」で配布されている無害なAndroidアプリの多くに、SSL/TLSの不適切な実装に起因する潜在的なセキュリティ問題があることが分かったとして、ドイツの研究チームが論文を公開した。この問題を悪用した中間者攻撃により、個人情報などが流出する恐れもあるとしている。
論文を公開したのはドイツのライプニッツ大学とマールブルク大学の研究チーム。Google Playから人気無料アプリ1万3500本をダウンロードして、SSL/TLSプロトコルの利用状況を分析した。
特に、SSLの不適切な実装に起因する中間者攻撃の脆弱性を検出するツール「MalloDroid」を使って調べたところ、調査したアプリの8%に当たる1074本に、中間者攻撃に対して潜在的に脆弱なSSL/TLSコードが含まれていることが分かった。
さらに100本のアプリについて詳しく調べた結果、SSL/TLSの不適切な実装がさまざまな形態で発見され、このうち41本では、実際に中間者攻撃を仕掛けてクレジットカードや銀行口座、Facebook、Twitter、Google、Yahoo、Microsoftといった大手のサービスへのログイン情報を取得することに成功したという。
さらに、ウイルス対策アプリにウイルス定義ファイルを挿入し、任意のアプリをウイルスとして認識させたり、ウイルス検出機能を完全に無効化したりすることもできてしまったと報告している。
研究チームはこの結果を受けて、「Google PlayはAppleのApp Storeと違って比較的オープンで無制限であり、これによって開発者とユーザーの柔軟性と自由度が高まっている半面、重大なセキュリティ問題も生み出している」と指摘する。論文では、問題の発生を防ぐための対策も紹介している。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アクセストップ10
- 小型スマホを使っている理由は? 選択肢のなさを嘆く声も:読者アンケート結果発表 (2024年07月26日)
- 「ハンディファン」「ネッククーラー」の選び方とやってはいけないこと 炎天下での利用は要注意 (2024年07月23日)
- IIJ×OPPO、Xiaomi、モトローラが語るスマホ戦術 おサイフケータイは「永遠の悩み」、IIJmioは「モバイル業界の宝石箱」 (2024年07月26日)
- 貼らない保護フィルムケース「スマハラ」、iPhone 15シリーズ向けに発売 丸洗いもOK (2024年07月26日)
- スマホの充電でやってはいけないこと 夏に気を付けたいNG行為は? (2024年07月26日)
- OPPOがFindシリーズを2024年内に国内発売へ 競合メーカー担当者の前でサプライズ告知 (2024年07月26日)
- 約2万円の折りたたみケータイ「Orbic JOURNEY Pro 4G」を試す シンプルで使いやすいがローカライズに課題も (2024年07月27日)
- 外出先から自宅のエアコンを遠隔操作、部屋を先に涼しくして“真夏の天国”を作っておく方法 (2024年07月25日)
- KDDIは通信障害をどのように検知してインフラを守っているのか ネットワークセンターに潜入 (2024年07月24日)
- 中国の“音楽特化スマホ”「MOONDROP MIAD01」を試す 重厚なサウンドに驚き、作り手のエゴを存分に感じた (2024年07月25日)
過去記事カレンダー
Feed Back
ITmediaはアイティメディア株式会社の登録商標です。