図1●脆弱性を持つ可能性のあるアプリの割合。実際に脆弱性であるかどうかは扱っているデータの機密性による
[画像のクリックで拡大表示]
図2●暗号化通信における脆弱性を持つ可能性のあるアプリの割合。実際に脆弱性であるかどうかは扱っているデータの機密性による
[画像のクリックで拡大表示]
図3●コンポーネントのアクセス制御に不備があるアプリの割合。実際に脆弱性であるかどうかは扱っているデータ機密性による
[画像のクリックで拡大表示]
ソニーデジタルネットワークアプリケーションズ(SDNA)は2013年10月30日、「Androidアプリ脆弱性レポート」を公開した。6170のアプリを調査したところ、5902件、すなわち96%が何らかの脆弱性リスク(脆弱性を持つ可能性)があった。
調査対象は、2013年8月28日までにアプリマーケットから取得したカテゴリごとに人気の上位100位までのアプリ。脆弱性リスクの判定は、一般社団法人日本スマートフォンセキュリティ協会の「Android アプリのセキュア設計・セキュアコーディングガイド」の基準に従ってアプリを検査するSDNA製ツール「Secure Coding Checker」の解析エンジンを使用した。
脆弱性リスクとは、暗号通信やアクセス制御の実装の不備、ログ出力の設定の不備などにより、データが他のアプリから読み取られてしまうといった問題を指す。その際にデータが個人情報やパスワードなどではなく漏えいしてもかまわないものであれば問題はないが、今回はそこまで確認していない。そのため、脆弱性ではなく脆弱性リスクという表現になっている。
暗号通信するアプリのうち、HTTPSの扱い方の誤りなどにより暗号通信が解読・改ざんされる脆弱性リスクのあるアプリは39%だった。コンポーネントのアクセス制御に不備があるアプリは、全アプリの88%だった。
「Androidアプリ脆弱性レポート」は、SDNAのWebサイトからダウンロードできる。
