Android向け人気アプリの多くで情報流出の恐れ、SSLの不適切な実装問題を研究者が指摘
米Googleの公式アプリ販売サービス「Google Play」で配布されている無害なAndroidアプリの多くに、SSL/TLSの不適切な実装に起因する潜在的なセキュリティ問題があることが分かったとして、ドイツの研究チームが論文を公開した。この問題を悪用した中間者攻撃により、個人情報などが流出する恐れもあるとしている。
論文を公開したのはドイツのライプニッツ大学とマールブルク大学の研究チーム。Google Playから人気無料アプリ1万3500本をダウンロードして、SSL/TLSプロトコルの利用状況を分析した。
特に、SSLの不適切な実装に起因する中間者攻撃の脆弱性を検出するツール「MalloDroid」を使って調べたところ、調査したアプリの8%に当たる1074本に、中間者攻撃に対して潜在的に脆弱なSSL/TLSコードが含まれていることが分かった。
さらに100本のアプリについて詳しく調べた結果、SSL/TLSの不適切な実装がさまざまな形態で発見され、このうち41本では、実際に中間者攻撃を仕掛けてクレジットカードや銀行口座、Facebook、Twitter、Google、Yahoo、Microsoftといった大手のサービスへのログイン情報を取得することに成功したという。
さらに、ウイルス対策アプリにウイルス定義ファイルを挿入し、任意のアプリをウイルスとして認識させたり、ウイルス検出機能を完全に無効化したりすることもできてしまったと報告している。
研究チームはこの結果を受けて、「Google PlayはAppleのApp Storeと違って比較的オープンで無制限であり、これによって開発者とユーザーの柔軟性と自由度が高まっている半面、重大なセキュリティ問題も生み出している」と指摘する。論文では、問題の発生を防ぐための対策も紹介している。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アクセストップ10
- 新AEON Pay×WAON POINTを徹底攻略 「ポイント二重取り」や「毎月10日の5%還元」に注目 (2026年02月17日)
- 着脱は“カチッ”と一瞬 Apple Watch Ultraを格上げするAulumuのマグネット式ナイロンバンド「C03」が快適 (2026年02月16日)
- 6980円の頑丈スマートウォッチ「Legion 3」登場 IP69Kの防水・防塵対応でMIL規格準拠 (2026年02月16日)
- 「dカード GOLD」に見る“Amazonプライム的”な顧客獲得手法 ドコモ経済圏の粘着性を読み解く (2026年02月17日)
- 【ユニクロ】4990円の「マルチポケットバックパック」 15型ノートPC収納用のスリーブ、6個のポケットを搭載 (2026年02月17日)
- ZTEの折りたたみ「nubia Fold」を使って分かった長所と短所 2年6万円台で価格破壊をもたらす1台だ (2026年02月16日)
- Google マップ、Geminiで口コミ要約など新機能を日本で展開スタート 口コミはニックネームでの投稿可能に (2026年02月16日)
- 幅92mmの「HUAWEI Pura X」は“令和のズルトラ”? 「Xperia Z Ultra」と実機比較、折りたためるファブレットだ (2026年02月15日)
- ピカチュウ仕様のガジェットポーチ、Ankerから1990円 充電器やケーブルをすっきり収納 (2026年02月16日)
- ドコモ3G停波=ガラケー終了ではないことを、父親に説明するのに苦労したハナシ (2026年02月14日)
過去記事カレンダー
Feed Back
ITmediaはアイティメディア株式会社の登録商標です。