Android Security Riskとは

AndroidアプリのSecurity Riskとはどのようなものでしょう。
ここでは代表的な脆弱性報告例と脆弱性によって発生するSecurity Riskについていくつか例を挙げます。
なお、ここで上げているものは解決済みの古い事例ばかりですが、実際は今でも同じような問題が継続して報告されています。
RiskFinderを利用して診断を行う事で、このような問題の発生を防ぐことができます。
・脆弱性報告例
1.ファイルのアクセス制限不備の脆弱性
  • 重要な情報が、他のアプリから読み出し可能な形で保存されている問題です。
  • ファイルのアクセス制限設定時のケアレスミス、SDカードに重要な情報を保存してしまう、などが原因で発生します。

  • 事例:Skype for Android における個人情報を読まれる脆弱性
  • アプリが作成するデータベースファイルが他のアプリから読み込み可能になっていた事例です。

  • リスク:
  • データベース内に格納されているアカウント情報や、履歴情報が悪意のあるアプリを通じて
  • 外部に漏えいする可能性があります。
2.コンポーネントのアクセス制限不備の脆弱性
  • アプリケーション内でのみ使用するはずの機能が他のアプリから呼び出し可能になっている問題です。
  • コンポーネントを定義する際のケアレスミスや保護設定が十分でない事で発生します。
  • (コンポーネントとは、Activity、Broadcast Receiver、Service、Content Provider を指します)

  • 事例:twicca におけるアクセス制限不備の脆弱性
  • 画像をアップロードする画面が、他のアプリから呼び出し可能になっていた事例です。

  • リスク:
  • 悪意のあるアプリがユーザになり済まして勝手に画像をアップロードしてしまう可能性があります。

  • 事例:モバツイtouch の Content Provider にアクセス制限不備の脆弱性
  • アプリが内部的に使用しているデータベースにアクセスするためのインターフェースが他のアプリから
  • 利用可能になっていた事例です。

  • リスク:
  • データベース内に格納されているアカウント情報が外部に漏えいする可能性があります。
3.SSLサーバ証明書の検証不備
  • HTTPS(HTTP over SSL/TLS)でサーバーと通信するAndroidアプリは、HTTPS通信の開始時に
  • 通信先から送信されたSSLサーバー証明書が適切か検証する必要がありますが、検証に不備があるために
  • 悪意のある第三者による通信内容の改ざんや盗聴(中間者攻撃)を防ぐ事ができないという問題です。

  • 事例:ヤフオク! における SSL サーバ証明書の検証不備の脆弱性
  • SSLサーバ証明書の検証に不備があるため、通信内容の改ざんや盗聴を検出できない問題がありました。

  • リスク:
  • 悪意のある第三者によって、盗聴したアカウント/パスワードが悪用されたり、通信データが
  • 改ざんされる事により利用者が意図しない操作が行われる可能性があります。

  • 事例:Android 版アプリ「JR東日本アプリ」における SSL サーバ証明書の検証不備の脆弱性
  • SSLサーバ証明書の検証に不備があるため、通信内容の改ざんや盗聴を検出できない問題がありました。

  • リスク:
  • 悪意のある第三者によって、盗聴したアカウント/パスワードが悪用されたり、通信データが
  • 改ざんされる事により利用者が意図しない操作が行われる可能性があります。
どの問題も、対処は難しくありません。
しかし問題は継続して発生しています。RiskFinderを利用して問題の発生を未然に防ぎましょう!
無料でセキュリティ診断、最短1分!

ページトップヘ