LINEは2月14日、セキュリティプラットフォームサービス「AIR(Active Incident Response)」のセキュリティと安全性を診断する「AIR GO」を用いて、oogle Play Store Top 100のアプリの脆弱性診断を実施した「2019年度下半期Google Play Store Top 100(JP)脆弱性診断結果」を発表した。
「AIR GO」は、アプリとWebサイトを分析し、難読化の有無、脆弱性、オープンソース・ライセンス、マルウェアを検出し、分析技術を用いてセキュリティリスクを検知して解決策を提案する。
今回の調査で、Google Playのセキュリティポリシーに違反する脆弱性が見つかったアプリは全体の約半数を占めることがわかったという。今回見つかった脆弱性のうち、最も多かったのは「TrustManager Verification」だった。この脆弱性は、SSL証明書の有効性の検証が不適切だった場合、中間者攻撃(MTM:Man-in-the-middle attack)をもたらすおそれがある。
これに、「Insecure HostnameVerification」(サーバとホストネームの検証が不適切に実現された場合、中間者攻撃を受けるおそれがある脆弱性)、「SSLErrorHanddler OnReceivedSSLError」(ハンドラーを安全に実現していなかったため、APPが中間者攻撃に弱い脆弱性)が続く。
この結果からは、同社は、アプリとクライアントがサーバ間で通信を行う過程で情報をアップデートする際に多くの脆弱性が潜んでいるケースが多いことが見えてきたと分析している。
-
「AIR GO」2019年度Google Play Store Top 100(Japan)脆弱性診断結果リスト 資料:LINE
