1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. IPAが『Androidアプリの脆弱性』に関する技術レポートを公開

IPAが『Androidアプリの脆弱性』に関する技術レポートを公開

IPAが『Androidアプリの脆弱性』に関する技術レポートを公開独立行政法人 情報処理推進機構(IPA)は、6月13日、「『Androidアプリの脆弱性』に関するレポート」を公開した。これは、主に同アプリの開発者を対象にした技術レポートで、2011年後半より、IPAに届け出られるAndroidアプリの脆弱性関連情報が増加している(2012年5月末までに累計で42件の届出があった)状況に鑑み、アプリ開発時に脆弱性を作り込みやすいポイントがまとめられている。

同レポートでは、Androidアプリの脆弱性を「Android OSに備わっている仕組みを同アプリが適切に使用していない場合、他のアプリが所有しているデータに不正アクセスしたり、他のアプリの権限を不正に使用したりするセキュリティ上の問題」と定義している。IPAがAndroidアプリの脆弱性に関する届出を分析した結果、その7割超が「アクセス制限の不備」の脆弱性だったという。

これは、制限が適切に実施されていないために、非公開または公開を限定すべき情報や機能に対するアクセスを第三者に許してしまう問題で、正しくAndroidの仕組みを理解し、適切にアクセス制限の設定をしていれば防ぐことのできる脆弱性とされている。このことから、IPAは、Android特有の設定の内容が開発者に周知できておらず、結果的に、アクセス制限の不備の脆弱性を作り込んでしまっているのではないかと推測している。

同レポートでは、Androidの仕組みについて説明した上で、典型的な脆弱性の事例を5件紹介している。また、脆弱性を作り込みやすい7つのポイントを確認できる簡易チェックリストを掲載している。

IPAは、同レポートがAndroidアプリの脆弱性の把握と対策方針の参考となり、セキュリティを考慮したAndroidアプリの開発に寄与することを期待している。

『Androidアプリの脆弱性』に関するレポート(IPA)
(リンク先PDF)『Androidアプリの脆弱性』に関するレポート

関連キーワード:

Android

IPA

脆弱性

  • 2012年6月のIT総括
  • カテゴリートップへ
  • Windowsに存在する未修正の脆弱性(CVE-2012-1889)への回避策(Fix it)が公開