IPAは9月19日、CERT/CCの発表「SSL証明書を適切に検証しない脆弱性」を受け、国内のAndroidアプリ開発者に向けWebページ上で注意喚起した。
|
中間者攻撃により不正なSSLサーバー証明書を用いて盗聴されるイメージ |
JPCERT/CCは、脆弱性があるAndroidアプリの開発者リストを公表しており、そこには国産を含む617のアプリが記載されている。調査は継続しており、脆弱性のあるアプリは大量にあるとされている。
Androidアプリは、HTTPS(HTTP over SSL/TLS)で通信する場合、サーバー証明書が適切であるかどうかを検証する。適切であればサーバーの安全性が確保されており、利用者がWebサイトにアクセスしても他人の中間者攻撃による盗聴・改ざんされる可能性が低い。
IPAは、脆弱性の点検ツール「AnCoLe」を無料配布している。万が一脆弱性が見つかったときは、速やかに修正しアップデートを公開してほしいと呼びかけている。
一方、Android端末の利用者側は、アップデートファイルが提供されたら、すぐに適用して端末を最新に状態にする必要がある。
なお、IPAは脆弱性がWindowsやiOSのアプリにもある可能性があるという。アプリケーションの開発者は、念のためSSLサーバー証明書の検証処理を行ってほしいと言及している。
