Broadcom Softwareは9月1日(現地時間)、公式ブログ「Mobile App Supply Chain Vulnerabilities Could Endanger Sensitive Business Information」において、多くのモバイルアプリがハードコードされたAWSアクセストークンを含んでおり、場合によっては機密情報が漏洩するリスクを抱えていることが判明したと警告している。

同社は、Symantecが分析したiOSおよびAndroidアプリのうち、1,859個の公開アプリがハードコードされたAWSアクセストークンを含んでいたというレポートを取り上げ、この事実がどのようなリスクにつながるのかを解説している。

  • Mobile App Supply Chain Vulnerabilities Could Endanger Sensitive Business Information|Broadcom Software Blogs

    Mobile App Supply Chain Vulnerabilities Could Endanger Sensitive Business Information|Broadcom Software Blogs

Symantecが特定した1,859個のモバイルアプリは、分析対象となったアプリ全体の4分の3以上(77%)にあたり、そのうちの98%がiOSアプリだったという。この1,859個のアプリにはプライベートなAWSクラウドサービスにアクセスするための有効なアクセストークンがハードコードされており、特に47%のアプリはAmazon S3を介してプライベートファイルにアクセスできる状態になっていたとのことだ。さらに、AWSアクセストークンを含むアプリのうちの53%が、他のアプリと同じAWSアクセストークンを使用していることも判明したと伝えられている。

この調査結果は、モバイルアプリを開発する企業が習慣的にクラウドサービスのアクセストークンをアプリ内にハードコードしているということを表している。もしもこのハードコードされたアクセストークンが流出した場合、同じクラウドサービスの他の機能や情報にアクセスされ、サービスを不正利用されたり、機密情報が盗み出されたりするリスクを負うことになる。Broadcom Softwareの記事では、モバイルアプリ向けの開発キット(SDK)を提供する企業が、SDKにAWSアクセストークンをハードコードしたまま提供してしまい、結果として顧客の企業データや財務記録、従業員の個人情報などを流出させた事例を取り上げている。

このような問題を防止するために、アプリの開発者は、アプリ内のSDKとフレームワークの両方をスキャンして、脆弱性や望ましくない動作が含まれていないこと、そしてソースコードやリソース内に望ましくない情報が含まれていないことを注意深く調べることが推奨されている。