「Androidアプリの96％に脆弱性ﾘｽｸ」、SONYが公開

名無しさん＠お腹いっぱい。

http://itpro.nikkeibp.co.jp/article/NEWS/20131029/514742/

　ソニーデジタルネットワークアプリケーションズ（SDNA）は2013年10月30日、「Androidアプリ脆弱性
レポート」を公開した。6170のアプリを調査したところ、5902件、すなわち96％が何らかの脆弱性リスク
（脆弱性を持つ可能性）があった。

　調査対象は、2013年8月28日までにアプリマーケットから取得したカテゴリごとに人気の上位100位
までのアプリ。脆弱性リスクの判定は、一般社団法人日本スマートフォンセキュリティ協会の「Android
アプリのセキュア設計・セキュアコーディングガイド」の基準に従ってアプリを検査するSDNA製ツール
「Secure Coding Checker」の解析エンジンを使用した。

　脆弱性リスクとは、暗号通信やアクセス制御の実装の不備、ログ出力の設定の不備などにより、
データが他のアプリから読み取られてしまうといった問題を指す。その際にデータが個人情報やパス
ワードなどではなく漏えいしてもかまわないものであれば問題はないが、今回はそこまで確認してい
ない。そのため、脆弱性ではなく脆弱性リスクという表現になっている。

　暗号通信するアプリのうち、HTTPSの扱い方の誤りなどにより暗号通信が解読・改ざんされる脆弱性
リスクのあるアプリは39%だった。コンポーネントのアクセス制御に不備があるアプリは、全アプリの88%
だった。

　「Androidアプリ脆弱性レポート」は、SDNAのWebサイトからダウンロードできる。