12/10/25 14:23:38.83 dvDzKEIB0 BE:14780737-2BP(6001)
sssp://img.2ch.net/ico/folder1_03.gif
米Googleの公式アプリ販売サービス「Google Play」で配布されている無害なAndroidアプリの多くに、SSL/TLSの不適切な
実装に起因する潜在的なセキュリティ問題があることが分かったとして、ドイツの研究チームが論文を公開した。この問題を
悪用した中間者攻撃により、個人情報などが流出する恐れもあるとしている。
論文を公開したのはドイツのライプニッツ大学とマールブルク大学の研究チーム。Google Playから人気無料アプリ1万
3500本をダウンロードして、SSL/TLSプロトコルの利用状況を分析した。
特に、SSLの不適切な実装に起因する中間者攻撃の脆弱性を検出するツール「MalloDroid」を使って調べたところ、調査した
アプリの8%に当たる1074本に、中間者攻撃に対して潜在的に脆弱なSSL/TLSコードが含まれていることが分かった。
さらに100本のアプリについて詳しく調べた結果、SSL/TLSの不適切な実装がさまざまな形態で発見され、このうち41本では、
実際に中間者攻撃を仕掛けてクレジットカードや銀行口座、Facebook、Twitter、Google、Yahoo、Microsoftといった大手の
サービスへのログイン情報を取得することに成功したという。
さらに、ウイルス対策アプリにウイルス定義ファイルを挿入し、任意のアプリをウイルスとして認識させたり、ウイルス検出
機能を完全に無効化したりすることもできてしまったと報告している。
研究チームはこの結果を受けて、「Google PlayはAppleのApp Storeと違って比較的オープンで無制限であり、これによって
開発者とユーザーの柔軟性と自由度が高まっている半面、重大なセキュリティ問題も生み出している」と指摘する。論文では、
問題の発生を防ぐための対策も紹介している。
URLリンク(www.itmedia.co.jp)