ソニーデジタルネットワークアプリケーションズ(SDNA)は30日、「Androidアプリ脆弱性調査レポート 2013年10月版」を公表した。調査したアプリケーション6,179件のうち96%に脆弱性リスクが見つかった。
Google Playに公開されているアプリケーション6,179件について調べたところ、そのうち96%の5,902件に何らかの脆弱性リスクがあった。脆弱性リスクにはアプリケーションのカテゴリに依存した傾向は特にみられず、どのカテゴリにおいても脆弱性リスクが9割を越えた。
調査対象となった6,179件のうち、5,632件(91%)がインターネット通信を行うアプリケーションであり、全体の4,030件(72%)が暗号通信方式HTTPSにより通信内容を保護していた。しかしながら、HTTPSを利用しているアプリケーションのうち、39%がHTTPSの扱い方を誤っており、暗号通信が解読・改ざんされる脆弱リスクがあった。
また、Androidアプリケーションを構成する4つのコンポーネント(部品)についても脆弱性リスクがあった。コンポーネントは悪用されるとアプリケーション内で扱う情報が漏洩するリスクがあるが、5,456件(88%)のアプリケーションが正しくアクセス制限されていなかった。
このほか、5,300件(86%)のアプリケーションで、リリース版アプリでは使用してはいけないログ出力関数が見つかっており、機密情報を含むログ情報が漏洩する可能性があった。
なお、本調査の脆弱性リスクの有無の判定には、一般社団法人日本スマートフォンセキュリティ協会の「Android アプリのセキュア設計・セキュアコーディングガイド」の基準にしたがいアプリを検査するSecure Coding Checkerの解析エンジンを使用した。
(記事提供: AndroWire編集部)