IPAは6月13日、IPAに届け出られるAndroidアプリの脆弱性関連情報が2011年後半から増加していることを踏まえ、それらを分析して脆弱性を作り込みやすいポイントをまとめ、技術レポート「IPAテクニカルウォッチ」として公開した。
同レポートによると、2011年後半からIPAに届け出られるAndroidアプリの脆弱性関連情報が増加。2012年5月末までの累計で42件の届出があり、その7割超が「アクセス制限の不備」の脆弱性だったという。
IPAに届け出られたAndroid アプリの脆弱性内訳 資料:IPA |
「アクセス制限の不備」の脆弱性とは、制限が適切に実施されていないために、非公開または公開を限定すべき情報や機能に対するアクセスを第三者に許してしまうというもの。
この脆弱性は、Androidの仕組みを理解し、適切にアクセス制限の設定をしていれば防ぐことができるが、IPAでは多くの届出があったという事実から、Android特有の設定の内容が開発者に周知できておらず、アクセス制限の不備の脆弱性を作り込んでしまっているのではないかとI推測している。
IPAは、Androidは「アプリに必要以上の権限を持たせないようにするための仕組み」と「他のアプリデータ共有や機能連携するための仕組み」を備えており、これらの仕組みを活用することで、アプリが保有するデータや機能を適切に管理することが可能になるとしている。
届出の多かったAndroidアプリの脆弱性の例として、「SDカードに機微な情報を保存」「ファイルが不正なアプリからアクセス可能」「不正なアプリに機能を悪用される」「ファイルが不正なアプリからアクセス可能」「機微な情報をログに出力」の5件を挙げ、脆弱性を作り込まないポイントを紹介している。
同レポートには、脆弱性を作り込みやすい7つのポイントを確認できる簡易チェックリストも掲載されている。