ソニーデジタルネットワークアプリケーションズ(SDNA)は、マーケットで公開されているAndroidアプリ(apkファイル)から、脆弱性のあるアプリの動向について分析した結果をまとめた「Androidアプリ脆弱性調査レポート 2013年10月版」を、10月30日に公開した。
分析では、日本スマートフォンセキュリティ協会(JSSEC)の「Androidアプリのセキュア設計・セキュアコーディングガイド」を判断基準に、アプリ解析ツール「Secure Coding Checker」の解析エンジンをカスタマイズして使用している。
調査によれば、対象アプリ6170件のうち、5902件(96%)が何らかの脆弱性を持っている可能性が明らかになった。
インターネット通信を行うアプリは5632件(91%)で、インターネットに常時接続されているスマートフォンの最大の特徴・メリットを活かすアプリが多い。さらに、4030件(72%)がHTTPSによる通信内容の保護を行っているものの、誤った使い方によって、暗号通信が解読・改ざんされるリスクのあるアプリが1585件(39%)存在する。
5456件(88%)のアプリは、アクセス制御を正しく行っておらず、アクセス制御の必要性が開発者に広く認識されていないことがうかがわれる。また、5300件(86%)のアプリにおいて、本来は禁止されているログ出力関数が見つかっており、アクセス制御同様に開発者にはあまり認知されていないことがわかった。
レポートでは、脆弱性のないアプリを作るために、「Androidアプリのセキュア設計・セキュアコーディングガイド」やDVD、「Secure Coding Checker」を使用し、業務と並行してのセキュリティ知識の学習を薦めている。
【関連リンク】
・ソニーデジタルネットワークアプリケーションズ
・「Androidアプリ脆弱性調査レポート 2013年10月版」(PDF)
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
