ソニーデジタルネットワークアプリケーションズ(ソニーDNA)は10月30日、「Androidアプリ脆弱性調査レポート」の2013年10月版を公開した。同社によると、マーケットに公開されているカテゴリ別に人気上位100アプリのapkファイルを分析した結果、96%が何らかの脆弱性を抱えている可能性があることが分かったという。

分析は、アプリ解析ツール「Secure Coding Checker」の解析エンジンをカスタマイズして使用している。このツールは、日本スマートフォンセキュリティ協会(JSSEC)の「Androidアプリのセキュア設計・セキュアコーディングガイド」を判断基準としている。

調査対象は、8月28日までに取得したapkファイル6170件。そのうち、5902件(96%)が脆弱性を抱えていた。スマートフォンは、詳細な個人情報が保存されているためプライバシー度合いが高く、問題が起きた場合に被害が大きくなる傾向があるとし、「脆弱性対策は喫緊の課題」とソニーDNAは警告している。

リスクのあるアプリは96%も

いずれのカテゴリも高い割合を示す

ネット通信を行うアプリは5632件(91%)で、このうち4030件(72%)が"HTTPS"による通信内容の保護を行っていた。しかし、誤った実装方法で暗号通信が解読・改ざんされる可能性があるアプリが存在しており、1585件(39%)にのぼっている。

脆弱なHTTPS実装の割合

ほかに、「正しいアクセス制御ができていない」アプリが5456件(88%)、「本来公開版アプリで使用してはいけないログ出力関数」が見つかったアプリが5300件(86%)と多くのアプリがセキュアでないことを指摘。ソニーDNAは「アクセス制御とログ出力関数は、開発者が正しい認識をしていない。セキュリティの知識を深めることが必要」とコメントしている。

コンポーネントのアクセス制御不備

禁止ログ関数によるログ出力