これまでAndroidのセキュリティーにおいて話題になってきたのは、管理者権限を使って端末を自由にカスタマイズするroot化や、ユーザーが安易にアプリにパーミッション(権限)を与えてしまい個人情報が漏洩してしまうといった問題である。しかし、2012年になって新しい脅威がセキュリティー研究者の間で注目されるようになった。設計上のミスがあるアプリに対して、悪意あるアプリからアプリ間連携の機能などを悪用して、個人情報などを抜き出せてしまうという問題だ。本連載では、この問題について、情報処理推進機構(IPA) 技術本部 セキュリティセンター 情報セキュリティ技術ラボラトリーの谷口隼祐氏に解説してもらった。
連載
Androidアプリの脆弱性
設計ミスが思わぬ穴に
目次
-
【最終回】HTMLを表示しただけで被害を受ける脆弱性
今回紹介する脆弱性はAndroidアプリ内でWebコンテンツを扱うコンポーネント「WebView」の実装に問題があり、脆弱性が作り込まれてしまうものである。前回までのIntentやContent Providerのようなアプリ間連携の仕組みとは異なるものの、やはりアプリの設計ミスによって生じる脆弱…
-
【第3回】アクセス制限不備に関する2つの脆弱性
前回は、Androidのアプリ間の連携機能を紹介した。今回は、その仕組みを適切に使用しなかったために作り込まれた、アクセス制限不備に関する脆弱性を紹介する。なお、紹介する例は、実際にIPAに届け出られた脆弱性関連情報をもとにしている。
-
【第2回】Androidのセキュリティー機構
Androidには、Androidアプリに必要以上の権限を持たせないように制限するための仕組みが備わっている。具体的には「権限の許可」と「ファイルのアクセス許可」である(図1)。前者は、アプリの動作に必要な権限についてアプリのインストール時にユーザーの許可を得る仕組みのことを指す。例えば、Andr…
-
【第1回】Androidアプリの脆弱性とは
スマートフォンのアプリケーション・ソフトウエア(以下、アプリ)をインストールすることで個人情報が盗まれてしまった―。2012年前半からこんな事件がテレビのニュースや新聞の記事を時々、賑わすようになった。こうした悪さをするアプリ、いわゆるマルウエアが使う手口は、ユーザーを騙して不正なアプリをインスト…