ソニーデジタルネットワークアプリケーションズ(SDNA)は30日、「Androidアプリ脆弱性調査レポート 2013年10月版」を公表した。調査したアプリケーション6,179件のうち、96%に脆弱性リスクが見つかるなど、アプリケーションのセキュリティに関する実状が数字に現れる結果となった。
|
|
全体の96%のアプリケーションに脆弱性リスクが見つかった |
アプリケーションのカテゴリに依存した傾向はなく、どのカテゴリでも脆弱性リスクが9割を越えた |
Google Playに公開されているアプリケーション6,179件について調べたところ、そのうち96%の5,902件に何らかの脆弱性リスクがあった。脆弱性リスクにはアプリケーションのカテゴリに依存した傾向は特にみられず、どのカテゴリにおいても脆弱性リスクが9割を越えた。
|
|
全体の91%のアプリケーションがインターネット通信を利用 |
全体の72%のアプリケーションが暗号通信方式HTTPSで通信内容を保護していた |
調査対象となった6,179件のうち、5,632件(91%)がインターネット通信を行うアプリケーションであり、全体の4,030件(72%)が暗号通信方式HTTPSにより通信内容を保護していた。しかしながら、HTTPSを利用しているアプリケーションのうち、39%がHTTPSの扱い方を誤っており、暗号通信が解読・改ざんされる脆弱リスクがあった。
|
全体の86%のアプリケーションにコンポーネントの脆弱リスクがあった |
また、Androidアプリケーションを構成する4つのコンポーネント(部品)についても脆弱性リスクがあった。コンポーネントは悪用されるとアプリケーション内で扱う情報が漏洩するリスクがあるが、5,456件(88%)のアプリケーションが正しくアクセス制限されていなかった。
|
全体の86%のアプリケーションで禁止ログ関数によるログ出力が見つかった |
このほか、5,300件(86%)のアプリケーションで、リリース版アプリでは使用してはいけないログ出力関数が見つかっており、機密情報を含むログ情報が漏洩する可能性があった。
なお、本調査の脆弱性リスクの有無の判定には、一般社団法人日本スマートフォンセキュリティ協会の「Android アプリのセキュア設計・セキュアコーディングガイド」の基準にしたがいアプリを検査するSecure Coding Checkerの解析エンジンを使用した。
関連ニュース
・トレンドマイクロ、韓国の銀行を狙った悪質アプリを確認 - Androidの脆弱性 (2013年8月7日)
・米Bluebox、Android端末に深刻なバグを発見 - 最大で9億台に影響 (2013年7月5日)
