スマートフォンの利用拡大とともにサードパーティ各社から多くのアプリがリリースされ、ユーザーによって活用が進んでいる。だが実際にどれだけアプリの安全性が担保されているのかを気にされたことはないだろうか? ユーザー名、パスワード、アプリ内の個人データについて保護状況を調べたある調査会社によれば、このすべての条件を満たしたアプリは全体の17%程度でしかなく、実際にはアプリの多くが問題を内包している可能性があるという。
これは米Viaforensicsがまとめた「White Paper: appWatchdog Findings」というホワイトペーパーに記されたデータで、それによればiOSとAndroidデバイス向けの100のアプリについて調査したところ、上記3つの項目をすべてパスしたアプリは全体の17%でしかないという。同社はオンラインバンキングなどの金融、ソーシャルネットワーク、メールなどの生産性ツール、Amazon.comなどのオンラインリテールアプリなど4種類に該当するアプリを幅広く集め、そのアプリが使用するユーザー名、パスワード、アプリ内データがどのように保存され、扱われているのかについてテストを行っている。もしこれらデータが暗号化などの処理が施されず保存されているのであれば、マルウェアなどの攻撃、あるいは盗難や紛失によって第三者へと渡ってしまう危険がある。 調査によれば、パスワードについては全体の9割がきちんと保存処理を行っている一方で、アプリ内データの保護については「問題なし」「警告」「問題あり」でほぼ割合が拮抗している。またappWatchdogが問題としているのはユーザー名の保存で、全体の8割弱がアプリの保存情報から取得可能だったという。同社によれば、意外と見落とされがちだが、複数のサービスで同一のIDを使うユーザーは多く、1つのID流出をきっかけに複数のサービスが乗っ取られる危険があるという。「IDが入手できれば鍵の半分は解除できたようなもの」というのがその考えだ。調査結果をまとめたグラフはホワイトペーパーで参照できるほか、個々のアプリのテスト状況はappWatchdogのページで確認できる。
またViaforensicsでは、テストを行った2種類のプラットフォームにおけるセキュリティ傾向にも触れている。例えばiOSではv3.0からデータ暗号化機能の実装が行われたが、v3.1.3までのバージョンではすでに研究者によって簡単に保護機能を破れることが実証されている。ところが最新バージョンのv4.0以降では保護機能の実装が抜本から見直され、基本的には簡単に取り出せない仕組みとなったようだ。ただし、iOSのパスコードロックを使用していない状態だと保護機能が不完全になるほか、盗難時の対処が難しいという問題が残っているという。一方のAndroidについては、iOSと同等のデータ保護機能の実装が行われたのはv3.0以降のデバイス、つまりHoneycombだけであり、既存のスマートフォンにはすべて同種の機能が実装されていないことが問題になるという。また「root」権限の取得がAndroidユーザーの間でのお約束となっているが、これがセキュリティ上のリスクにもなっていると指摘する。全体にはAndroidよりもiOSのほうがプラットフォーム的に安全で、Androidではより進んだ対策が求められるというのが総括だ。