こんにちは。
ダイワンテレコム自由が丘店です。
主にAndroidOSでアプリの提供を行う「Google Play Store」で提供されているTOP100のアプリについて、約半数に脆弱性があることが「LINE」の調査で明らかになりました。
LINE株式会社はセキュリティ・安全性診断を行うツールである「AIR GO」を用いてGoogle Play StoreでTOP100のアプリに対して診断を実施。その結果TOP100の約半数からGoogle Playのセキュリティポリシーに違反する脆弱性が発見されたとしています。
下記3つの脆弱性が順に多く、アプリとクライアントがサーバー間で通信を行う過程で、情報のアップデートを行う際に脆弱性が潜むケースが多いとしています。
1. 「TrustManager Verification」SSL証明書の有効性の検証が不適切に実現された場合、中間者攻撃を受ける恐れがある。
2. 「Insecure Hostname Verification」サーバーとホストネームの検証が不適切に実現された場合、中間者攻撃を受ける恐れがある。
3. 「SSLErrorHanddler OnReceivedSSLError」ハンドラ(処理要求を受け取りそれに応じた処理を行うプログラム)を安全に実現していなかったため、アプリが中間者攻撃に弱い。
またLINE株式会社は「AIR GO」を活用することで開発会社や開発者がセキュリティ・安全性に対する問題点を即時に把握して対応できる、と提案を行っています。