ソニーデジタルネットワークアプリケーションズ(SDNA)は30日、「Androidアプリ脆弱性調査レポート 2013年10月版」を公表した。調査したアプリケーション6,179件のうち96%に脆弱性リスクが見つかった。

Google Playに公開されているアプリケーション6,179件について調べたところ、そのうち96%の5,902件に何らかの脆弱性リスクがあった。脆弱性リスクにはアプリケーションのカテゴリに依存した傾向は特にみられず、どのカテゴリにおいても脆弱性リスクが9割を越えた。

全体の96%のアプリケーションに脆弱性リスクが見つかった

アプリケーションのカテゴリに依存した傾向はなく、どのカテゴリでも脆弱性リスクが9割を越えた

調査対象となった6,179件のうち、5,632件(91%)がインターネット通信を行うアプリケーションであり、全体の4,030件(72%)が暗号通信方式HTTPSにより通信内容を保護していた。しかしながら、HTTPSを利用しているアプリケーションのうち、39%がHTTPSの扱い方を誤っており、暗号通信が解読・改ざんされる脆弱リスクがあった。

全体の91%のアプリケーションがインターネット通信を利用

全体の72%のアプリケーションが暗号通信方式HTTPSで通信内容を保護していた

また、Androidアプリケーションを構成する4つのコンポーネント(部品)についても脆弱性リスクがあった。コンポーネントは悪用されるとアプリケーション内で扱う情報が漏洩するリスクがあるが、5,456件(88%)のアプリケーションが正しくアクセス制限されていなかった。

全体の86%のアプリケーションにコンポーネントの脆弱リスクがあった

このほか、5,300件(86%)のアプリケーションで、リリース版アプリでは使用してはいけないログ出力関数が見つかっており、機密情報を含むログ情報が漏洩する可能性があった。

全体の86%のアプリケーションで禁止ログ関数によるログ出力が見つかった

なお、本調査の脆弱性リスクの有無の判定には、一般社団法人日本スマートフォンセキュリティ協会の「Android アプリのセキュア設計・セキュアコーディングガイド」の基準にしたがいアプリを検査するSecure Coding Checkerの解析エンジンを使用した。

(記事提供: AndroWire編集部)