ソフトウェア・インテグリティ

 

コロナ禍におけるモバイル・アプリケーションのセキュリティの状況

今日のモバイルアプリは安全でしょうか、それとも攻撃者に機会を提供しているでしょうか?新しい調査レポートを紐解きながら、モバイルアプリケーションのセキュリティの状態について学びましょう。

PIP-header.jpg

シノプシスは先日、Cybersecurity Research Center(CyRC)が作成したレポート「コロナ禍の危機:モバイル・アプリケーション・セキュリティの現状」をリリースしましたが、これは、COVID-19パンデミック時のモバイル・アプリケーション・セキュリティの状態を調査したものです。 この調査には、2021年の第1四半期の時点でGooglePlayストアで最も人気のある3,335のAndroidモバイルアプリケーションが含まれていました。

CyRCは、Black Duck® Binary Analysisを活用して、アプリケーションの大部分(63%)に既知の脆弱性を持つオープンソース・コンポーネントが含まれていることを発見しました。CyRCは、機微データの公開や過度のモバイルのアクセス権限など、セキュリティの問題に関するその他の問題も明らかにしました。

分析によれば、パンデミックとロックダウンにより、爆発的に利用が拡大した18の人気のあるモバイル・アプリケーションカテゴリに焦点を当てました。 これらのカテゴリーはすべて、職場、ジム、教室などの自宅からアクセスする必要が生じたために必要となったもので、教育、ビジネス、健康とフィットネスが含まれます。 CyRCは、18のカテゴリの全アプリケーションに、少なくとも3分の1に既知の脆弱性が含まれていることを発見しました。

モバイル・アプリケーション・セキュリティの現状

オープンソースの脆弱性蔓延問題
消費者は、アプリケーション、特にバンキングのように機密性の高いアプリケーションは安全であると考えがちですが、必ずしも「安全」だとは限りません。 CyRCは、脆弱なモバイルアプリには、平均で39の脆弱性が含まれていることを発見し、合計で82,000回以上出現した3,000を超える固有の脆弱性を特定しました。

情報漏洩問題
情報漏洩は、開発者が、開発中のアプリケーションのソースコードに機密データや個人情報を誤って残してしまうことで発生します。悪意のある攻撃者に対して、この情報が手がかりを提供してくれることでシステムにアクセスするのを助けてしまう可能性があります。CyRCは、調査したアプリで何千もの情報漏洩の事例を発見しました。

アクセス許可問題
アプリケーションが適切に機能するために必要なアクセス許可のレベルはさまざまですが、絶対に必要なレベルを超えてはなりません。CyRCによるモバイル・アプリケーションのセキュリティ分析により、許容し難いアクセス権の要求が多数発見されました。 1つのアプリには、Googleが「保護レベル:危険」と分類する11の権限が必要でした。 ダウンロード数が500万を超える別のアプリには、合計56の権限が必要でしたが、そのうち31は、Googleが「保護レベル:危険」またはサードパーティのアプリでは本来使用されない「署名権限」として分類しています。 ユーザーの端末へのこのレベルのアクセスは本来許可されないものです。

カテゴリ別の主な調査結果

  • 全体で、18のカテゴリの上位6つに含まれるアプリケーション(ゲームやバンキング、予算管理、決済アプリなどを)の少なくとも80%には、既知の脆弱性が含まれていた。
  • ライフスタイルと健康およびフィットネスのカテゴリはどちらも、脆弱なアプリの割合が最も低く、36%。
  • モバイル・バンキング、決済、および予算管理のカテゴリはすべて、必要なモバイルデバイスのアクセス許可の平均数が最も多く、全体の平均である18をはるかに上回っていた。
より詳しく知りたい方はこちらへ。

 

この著者によるその他の情報