独立行政法人 情報処理推進機構(IPA)は2012年6月13日、「『Androidアプリの脆弱性』に関するレポート」を公開した。Androidアプリの脆弱性の例と、Androidアプリで脆弱性を作り込みやすいポイントをまとめた簡易チェックリストを掲載している。
IPAによれば、同機構に届け出られるAndroidアプリの脆弱性関連情報が増加しているという。2012年5月末までの累計で42件の届け出があり、その7割超が「アクセス制限の不備」の脆弱性だった。すなわち、アクセス制限が適切に実施されていないために、非公開または公開を限定すべき情報や機能に、第三者がアクセス可能になっていた。
「Androidの仕組みを理解し、適切にアクセス制限の設定をしていれば防ぐことのできる脆弱性だが、多くの届け出があったという事実から、このAndroid特有の設定の内容が開発者に周知できておらず、結果的に、アクセス制限の不備の脆弱性を作り込んでしまっているのではないか」とIPAでは推測。周知のため今回のレポートを作成、公開した。
レポートでは脆弱性の例として以下の五つの例を解説している。
ファイルのアクセス制限不備の脆弱性
(1)SDカードに機微な情報を保存
(2)ファイルが不正なアプリからアクセス可能
機能(コンポーネント)のアクセス制限不備の脆弱性
(1)不正なアプリに機能を悪用される
(2)ファイルが不正なアプリからアクセス可能
ログ出力に関する情報漏えい
(1)機微な情報をログに出力
また簡易チェックリストとして以下の七つのポイントをリストアップしている。
Androidアプリが生成するファイルのアクセス制限
(1)SDカードに保存
(2)ファイルの生成
Androidアプリの機能(コンポーネント)のアクセス制限
(1)ファイルアップロード等の機能の提供
(2)データ共有機能の提供
Androidアプリが出力するログの内容
(1)デバッグログの出力
(2)アプリの機能呼び出し時のログの出力
Androidアプリが取得する権限
(1)権限の要求
「『Androidアプリの脆弱性』に関するレポート」はIPAのサイトからダウンロードできる。
