Android向け人気アプリの多くで情報流出の恐れ、SSLの不適切な実装問題を研究者が指摘

» 2012年10月23日 07時49分 公開
[鈴木聖子,ITmedia]

 米Googleの公式アプリ販売サービス「Google Play」で配布されている無害なAndroidアプリの多くに、SSL/TLSの不適切な実装に起因する潜在的なセキュリティ問題があることが分かったとして、ドイツの研究チームが論文を公開した。この問題を悪用した中間者攻撃により、個人情報などが流出する恐れもあるとしている。

 論文を公開したのはドイツのライプニッツ大学とマールブルク大学の研究チーム。Google Playから人気無料アプリ1万3500本をダウンロードして、SSL/TLSプロトコルの利用状況を分析した。

 特に、SSLの不適切な実装に起因する中間者攻撃の脆弱性を検出するツール「MalloDroid」を使って調べたところ、調査したアプリの8%に当たる1074本に、中間者攻撃に対して潜在的に脆弱なSSL/TLSコードが含まれていることが分かった。

 さらに100本のアプリについて詳しく調べた結果、SSL/TLSの不適切な実装がさまざまな形態で発見され、このうち41本では、実際に中間者攻撃を仕掛けてクレジットカードや銀行口座、Facebook、Twitter、Google、Yahoo、Microsoftといった大手のサービスへのログイン情報を取得することに成功したという。

 さらに、ウイルス対策アプリにウイルス定義ファイルを挿入し、任意のアプリをウイルスとして認識させたり、ウイルス検出機能を完全に無効化したりすることもできてしまったと報告している。

 研究チームはこの結果を受けて、「Google PlayはAppleのApp Storeと違って比較的オープンで無制限であり、これによって開発者とユーザーの柔軟性と自由度が高まっている半面、重大なセキュリティ問題も生み出している」と指摘する。論文では、問題の発生を防ぐための対策も紹介している。

Copyright © ITmedia, Inc. All Rights Reserved.

アクセストップ10

2026年07月07日 更新
  1. JR東日本「分かりにくい」新幹線券売機を改善へ なぜ、スマホではなく「駅での最短1分購入」を実現? (2026年07月04日)
  2. UQ mobile「コミコミプランバリュー」にクレカ割を導入したワケ 背景にahamoとY!mobileの“板挟み”も (2026年07月04日)
  3. Suica、JRE POINTのキャンペーンまとめ【7月5日最新版】 最大1万ポイント還元や新幹線35%オフなど (2026年07月05日)
  4. アップルがMacBook、iPadなどをついに値上げ――値上げを見送ったiPhoneのXデーはいつなのか (2026年07月05日)
  5. エディオンら、携帯契約時に義務違反 総務省が発表 NTTドコモにも行政指導 (2026年07月03日)
  6. 転売屋によるスマホ回線の「短期解約」「ホッピング」 総務省の検討する対策は十分なのか? 店員からの意見 (2026年07月03日)
  7. ソフトバンクが「今回もやる」とGalaxy S26を月額1円で販売――販売方法を早急に見直さないと撤退を迫られるメーカーも (2026年03月08日)
  8. WAON POINTやAEON Payのキャンペーンまとめ【7月4日最新版】 ポイント20%還元や30倍増額など盛りだくさん (2026年07月04日)
  9. 「iPhone 17e」と「iPhone 17」どちらが買いか? 2機種を使い込んで分かった“スペック表にない違い” (2026年04月29日)
  10. アメックスが「プラチナ・カード」を刷新、10万円航空券クーポンや高級ホテル特典など ただし“年間500万円”の壁も (2026年07月06日)
最新トピックスPR

過去記事カレンダー