大多数のモバイルアプリには深刻なセキュリティ上の欠陥があります

多くの場合、アプリは必要のないデータにアクセスしたり、アプリの動作とは関係のないハードウェアやサービスを使用する権限を持っています。 最近の研究では、問題は私たちが考えていたよりもはるかに広範囲に及んでいることが示されています。

HPの研究者は、10月から11月の間に2, 000を超えるiOSアプリを調査し、先月発表された調査によると、10のアプリのうち9つが深刻な脆弱性を抱えていることがわかりました。 問題の範囲は、権限が多すぎること、暗号化されていないデータ、安全でないデータの送信などです。 ゲームはアドレス帳にアクセスする必要はありません。また、天気アプリにメールを送信する許可がある理由はまったくありません。 アプリがアクセスするデータを保護しない場合、またはコアオペレーティングシステムコンポーネントの使用方法を適切に保護しない場合、デバイスは攻撃に対して脆弱になります。

HPのFortifyのエンタープライズセキュリティ製品グループのバイスプレジデント兼ゼネラルマネージャーであるマイクアーミステッドは、次のように述べています。

この研究では、研究者はHP Fortify on Demandの自動バイナリおよび動的分析エンジンを使用して、生産性やソーシャルネットワーキングを含む22の異なるカテゴリから選択された2, 107個のアプリケーションをテストしました。 この調査ではカスタムエンタープライズアプリケーションに焦点を当てましたが、Apple App StoreまたはGoogle Playで見つかるアプリに同様のセキュリティおよびプライバシーの問題があると仮定するのは簡単ではありません。

データを保護しない

ほぼすべて-テスト済みアプリの97％が、個人アドレス帳やソーシャルメディアページなどの少なくとも1つの「プライベート情報ソース」にアクセスしたか、BluetoothまたはWi-Fi接続を利用しました。 心配なのは、これらのアプリケーションの驚異的な86％が、プライベートデータを確実に保護するための適切なセキュリティ対策を講じていなかったことです。

調査の結果、モバイルデバイスにデータを保存するときに、アプリケーションの約75％が暗号化を誤って使用していました。 保護されていないデータには、パスワード、個人情報、セッショントークン、ドキュメント、チャットログ、写真が含まれていました。

調査でテストしたアプリケーションの18％だけがHTTP経由でユーザー名とパスワードを送信し、残りのアプリはSSL / HTTPSを使用していることがわかりました。 ただし、安全な送信モードを使用しているユーザーのうち、20％近くがSSL / HTTPSの実装が正しくありませんでした。 つまり、データは依然として悪意のある攻撃者によるスニッフィングに対して脆弱です。

開発者はステップアップする必要があります

一般に、AndroidとiOSの両方のモバイルオペレーティングシステムは、アプリが要求するアクセス許可を明示的に記述することで改善されています。 また、アプリがアクセスできるデータの種類に関するより厳しいガイドラインもあります。 ただし、権限のリストを確認し、その意味を理解し、要求が不合理であると判断するのは、ユーザーの負担です。

開発者が最初からアプリにセキュリティとプライバシーを組み込んだ場合、より良いシナリオになります。 自分のアプリが他のアプリやオペレーティングシステムとどのように相互作用するかを考える必要があります。 アプリがデータに安全にアクセスする方法を検討する必要があります。

HPによると、企業は「市場投入までの時間」から「安全で市場投入までの時間」に切り替える必要があります。