Malwarebytesは3月14日(米国時間)、「Research on iOS apps shows widespread exposure of secrets|Malwarebytes」において、Appleストアから配布されているアプリの多くから機密データ漏えいが確認されたと報じた。
これらアプリはクラウドストレージの認証情報など機密データをハードコードしており、容易に窃取可能とされる。
ハードコードされた機密データは脆弱性
ソフトウェア開発は誰でも簡単に始められるスキルの一つ。アプリ開発においても多くの情報が公開されており、ある程度の知識を習得すればアプリストアから公開・販売することができる。しかしながら、セキュリティに配慮した情報は比較的少なく、落とし穴となっている。
プログラムを実行可能な状態に変換(コンパイル)すると、バイナリ形式の人間には理解困難なデータが生成される。そのため、プログラムにパスワードなどを埋め込んでも問題ないと考えることがある。
ところが、実行可能ファイルに埋め込まれた文字列は誰でも容易に復元、または閲覧可能で事実上公開したものと理解される。共通脆弱性タイプ一覧(CWE: Common Weakness Enumeration)においても「CWE - CWE-798: Use of Hard-coded Credentials (4.16)」として分類されており、明確な脆弱性となる。
広範囲のアプリから脆弱性を発見
Malwarebytesによると、研究者は156,000件のiOSアプリを調査し、合計で815,000件以上のハードコードされた機密データを発見したという(参考:「Research finds 110K+ Apple iOS apps leaking secrets | Cybernews」)。
約71%のアプリから1つ以上の機密データが発見され、クラウドストレージの認証情報も約78,000件発見したとされる。クラウドストレージの認証情報はそのアプリの利用者情報の漏洩を意味しており、影響は広範囲に及ぶ可能性がある。
ユーザーは積極的な自己防衛を
このタイプの脆弱性は開発者でなければ対策を講じることができない。また、速やかな修正がなされたとしても、すべての情報をすでに漏洩している可能性がある。そのため、アプリをインストールする際は、本当に信頼できる開発者の製品か検討し、信頼できない場合はアプリに与える権限を可能な限り少なくすることが推奨されている。
また、アプリを使用したことで個人情報などを漏洩した可能性がある場合は、次の対策の実施が推奨されている。
- 漏洩した可能性のあるすべてのパスワードを変更する
- 可能であれば多要素認証(MFA: Multi-Factor Authentication)を有効化する
- 漏洩した情報を悪用するフィッシング攻撃に警戒する。攻撃者は使用している製品のベンダーを装い接触してくる可能性がある
アプリの開発者には、アプリを公開する前に十分なセキュリティ監査を実施し、安全を確認してからリリースすることが望まれている。また、Appleにもアプリの審査において、「CWE-798」の検出を審査項目に追加することが望まれる。