Android スマートフォンの所有者を危険にさらす脅威は悪意のあるアプリだけではありません。正規のアプリ開発者も設定エラーを犯し、個人データが漏洩したままになる可能性があります。これはまさに最近起こったことであり、それ以上でもそれ以下でも 1 億人のユーザーに影響を与えます。
セキュリティ会社Check Point Researchの報告書によると、少なくとも23の人気のあるAndroidアプリに一連の「サードパーティのクラウドサービスの設定ミス」が含まれていたという。場合によっては、メッセージ、パスワード、写真、ビデオなどのデータを簡単にアクセスできる状態にしておいたことに加えて、開発者自身も攻撃の可能性に対して油断していたことが示されています。
このセキュリティ問題の範囲を理解するには、サードパーティのクラウド サービスが、さまざまな Android アプリケーションでさまざまなデバイス間でデータを保存および同期するために広く使用されていることを覚えておく必要があります。開発者にとっては便利ですが、設定を誤るとユーザー データがサイバー犯罪者の手の届く範囲に残る可能性があります。
一部の Android アプリ開発者の間違い
Check Point Research は、 23 の Android アプリケーションの開発者が安全な認証メカニズムを使用していないことを検出しました。これらには、50,000 件以上ダウンロードされているタクシー アプリケーションT’Levaが含まれます。占星術Astro Guru は1,000 万回以上ダウンロードされています。 iFax 、 Logo Maker 、 Screen Recorderなどはレポートに記載されていません。
研究チームは、場合によっては、ユーザーの資格情報がネットワーク上で公開されている場合があることを発見しました。他のケースでは、 Android アプリのチャット履歴にアクセスでき、ユーザーの電話番号や位置情報が記録される可能性があります。
たとえば、画面録画および FAX アプリの場合、ユーザーの画像やビデオは適切に保護されていなかったため、Check Point Research はそのコンテンツに自由にアクセスできました。また、プッシュサービスの実装にもバグが見つかりました。この方法では、攻撃者がアプリケーションに代わって通知を送信できる可能性があります。
同社は、Androidアプリで検出されたセキュリティ上の問題を開発者に通知した。現在、一部のエラーは修正されています。ただし、「悪意のある攻撃者がこのデータにアクセスすると、不正なアカウント アクセス、詐欺、個人情報の盗難が発生する可能性がある」と彼らは主張しています。
参考資料一覧
- https://research.checkpoint.com/2021/mobile-app-developers-misconfiguration-of-third-party-services-leave-personal-data-of-over-100-million-exused/