見出し画像

複数の人気スマホアプリに資格情報窃取の恐れ、確認を

かちょー@エンジニア

Symantecは10月22日(米国時間)、「Exposing the Danger Within: Hardcoded Cloud Credentials in Popular Mobile Apps|Symantec Enterprise Blogs」において、複数のモバイルアプリから潜在的な脅威を発見したと報じました。これらアプリはクラウドサービスの資格情報をハードコードしており、攻撃者がクラウドサービスに不正アクセスしてユーザー情報を窃取する可能性があるといいます。

                       出典:マイナビニュース

潜在的に脆弱なアプリ

Symantecにより発見された、資格情報をハードコードしているアプリおよびクラウドサービスの種類は次のとおりです。

  • Pic Stitch - Amazon Web Services(AWS)

  • Crumbl - Amazon Web Services(AWS)

  • Eureka: Earn money for surveys - Amazon Web Services(AWS)

  • Videoshop - Video Editor - Amazon Web Services(AWS)

  • Meru Cabs- Local, Rental, Outs - Microsoft Azure Blob Storage

  • Sulekha Business-List & grow - Microsoft Azure Blob Storage

  • ReSound Tinnitus Relief - Microsoft Azure Blob Storage

  • Saludsa - Microsoft Azure Blob Storage

  • Chola Ms Break In - Microsoft Azure Blob Storage

  • EatSleepRIDE Motorcycle GPS - Twilio

  • Beltone Tinnitus Calmer - Microsoft Azure Blob Storage

  • Solitaire Clash: Win Real Cash - Amazon Web Services(AWS)

  • Zap Surveys - Earn Easy Money - Amazon Web Services(AWS)

「資格情報のハードコード」とは

一部のアプリは利便性の向上、セキュリティの強化、改ざん防止のため、ユーザー情報やデータをデバイスではなくクラウドサービスに保管することがあります。アプリがクラウドサービスに接続するには人間と同様に認証を行う必要があり、アプリは何らかの方法で認証情報を保持しています。

「ハードコード」はプログラムのソースコードに設定値やデータを直接書き込むことを、さらに、「資格情報のハードコード」は資格情報をソースコードに平文で書き込むことを意味します。ハードコードされた情報は実行プログラムにそのまま保持されるため、多少の知識があれば誰でも簡単に取り出せます。つまり、資格情報をハードコードしたアプリは、資格情報を暗黙的に公開していると評価することができます。

クラウドサービスの資格情報が漏洩した場合、攻撃者はクラウドサービスに不正アクセスしてデータの窃取、改ざん、削除が可能となる。影響はアプリの動作不良だけではなく、ユーザーの個人情報流出など深刻な被害をもたらす可能性があります。

対策

上記の脆弱なアプリは少なくとも10万回以上のダウンロード実績(Google Play)、またはレビュー件数(Appleストア)があります。それだけ多くのユーザーが利用していると考えられ、深刻な脅威となっています。

上記のアプリのように、資格情報を保持するアプリの開発者には、機密情報保持のベストプラクティスに従って実装することが推奨されています。具体的には環境変数の使用、機密情報管理ツールの使用、安全性の実証された暗号化などが推奨されています。

なお、この脆弱性に関して、ユーザーに推奨される回避策はありません。アプリ開発者に修正を要望し、アップデートを待つ必要があります。

例に上がっているアプリは一部のもので、他のアプリも例外ではありません。私たちが普段利用しているアプリも全く関係ないということはないと思われます。
不安に思ったら
⓵利用アプリのバージョンが最新か確認する
②利用スマホ(android・iPhone)のOSが最新になっているか確認する
③アプリを利用しない

こちらは常に確認しておきましょう。

★---------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。

私たちだからできる「ワンストップサービス」も魅力の1つです!


⇒ 専用ページはこちら
★-------------------------------------------★