Threatpost - The First Stop For Security News

米国のニュースサイト「Threatpost」に掲載された記事「Mobile Android, iOS Apps Still Vulnerable to FREAK Attacks - See more」が、OpenSSLの脆弱性「FREAK」を修正するパッチがAppleやAndroid端末を提供するベンダーからリリースされたにもかかわらず、AndroidやiOSで動作する多くのアプリにおいて依然として「FREAK」の問題が存在すると伝えた。

同記事はFireEyeのレポートを引用し、Google Playで100万回以上ダウンロードされたアプリ1万1000本を調査した結果、うち1228本のアプリが脆弱性を抱えているOpenSSLを使用していると説明。うち、AndroidにバンドルされているOpenSSLを使うアプリが664本、カスタムコンパイルされたライブラリを使用するアプリが564本とされている。同様の調査はiOSについても実施されているが、こちらはAndroidよりは深刻ではなく、1万4000本を調査して、うち771本が該当していると指摘されている。

AndroidやiOSに最初からバンドルされているアプリ以外のアプリに関しては、それぞれの開発元が修正版をリリースする必要がある。ただし、すでにサポートが終了しているアプリは脆弱性が修正されない可能性があり、代替アプリへ移行するなどの手段をとることが求められる。