ここ数カ月間、 Androidアプリケーションに脆弱性が存在し、ユーザーがさまざまな目的で個人データを取得したり、悪意のあるコードをデバイスにインストールしたりするケースが増加しています。サイバーセキュリティを専門とする企業である Arxan が実施した調査により、 Google Playで入手可能な最大 30 の金融アプリが人々の機密情報を漏洩させていたことが明らかになりました。
研究者は、ほとんどのアプリケーションにはデータを保護するための適切なセキュリティが欠けていることを発見しました。分析されたアプリのうち、97% にはバイナリ コード保護がなかったため、リバース エンジニアリングを適用してソース コードにアクセスし、操作することができました。
調査に携わったセキュリティアナリストのアリッサ・ナイト氏はZDNetポータルに対し、ソースコードを確認したところ、外部サービスに接続するためのAPI(アプリケーション・プログラミング・インターフェース)キーを発見したと明らかにした。キーは常に隠しておくのが適切です。
Android アドウェアは Google Play から 1 億 5,000 万回ダウンロードされました
分析の残りの部分では、90% がデバイス上の他のアプリケーションとサービスを共有しているため、後者はあらゆる種類の情報にアクセスできる可能性があると述べています。 83% には安全なデータ ストレージが不足していました。経験豊富なサイバー犯罪者であれば、問題なくそれらを入手できるでしょう。 80% の暗号化が弱く、機密情報が解読される可能性がありました。最後に、70% が安全でない乱数生成システムを使用していました。
これらは金融サービスを提供するアプリであるため、責任ある企業がクライアントにセキュリティを保証できないことは非常に懸念されます。研究者が分析したのは 30 個のアプリだけであることに注意することが重要です。 Googleのデジタル ストアには、データ保護標準に準拠していないアプリケーションがさらに多く存在すると考えられます。
Arxan はアプリの名前を明かさないことを好み、開発者がこの状況についてすでに警告を受けているかどうかも不明です。問題が時間内に修正されなかった場合、ハッカーが最近 Google Play から 1 億 5,000 万回ダウンロードされたアドウェアでやったように、まだ修正していない場合にはその状況を悪用する可能性があります。サイバー犯罪者は、ソフトウェア開発キット (SDK) である RXDrioder を使用して悪意のあるコードを拡散させます。
参考資料一覧
- https://www.zdnet.com/article/security-flaws-in-banking-apps-expose-data-and-source-code/
- https://www.arxan.com/resources/downloads/aite-research-financial-mobile-apps