劣化したライブラリが招くAndroidアプリのリスク | ScanNetSecurity
2024.05.29(水)

劣化したライブラリが招くAndroidアプリのリスク

アプリ開発において、オープンソースライブラリやGitHubのようなレポジトリはなくてはならないものだが、そこには落とし穴もある。

研修・セミナー・カンファレンス セミナー・イベント
PacSecで講演するMarc Schonefeld氏
PacSecで講演するMarc Schonefeld氏 全 3 枚 拡大写真
アプリ開発において、オープンソースライブラリやGitHubのようなレポジトリはなくてはならないものだ。多くのソフトウェアに利用され実績もあるライブラリは、完成コンポーネントとして使えるメリットの他、メジャーなものなら脆弱性の心配も少ないはずだ。

一般論としてはその通りなのだが、そこには落とし穴もある。

●本当は危険なライブラリ

例えばアンドロイドのアプリにおいては、標準的なSDKだけで開発すると、パフォーマンスが出ない、最新機能を使いたい、既存システムやサービスなどにつなぐ必要がある、といった理由で、C/C++のライブラリを利用することがある。

これは本質的に危険であり利用を避けるべきだという専門家もいる。Marc Schonefeld氏は、Google Play Storeの多数のアプリを検証し、それらに潜む脆弱性について研究している。その中で、100万、1,000万ダウンロードされるようなメジャーなアプリについても、危険なライブラリに由来する脆弱性が残っていると警告する。

Schonefeld氏は、PacSec Tokyo 2017において、自身の調査結果とともに具体的なライブラリ名を挙げながら、古いライブラリ、とくにパッケージに組み込まれてバージョンがわからないようなもの、利用そのものが忘れ去られているものの危険性を指摘した。オープンソースライブラリなどは、管理するベンダーやコミュニティによってアップデートされていくが、アプリにインポートされたライブラリは、適宜のメンテナンスを怠ると「劣化」していくことになる。このリスクは、OWASPでもトップ10に入るものだ。

  1. 1
  2. 2
  3. 続きを読む

《中尾 真二》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 半数の中小企業経営者、セキュリティ対策の必要性「感じたことがない」

    半数の中小企業経営者、セキュリティ対策の必要性「感じたことがない」

  2. SPF / DKIM / DMARC はどう機能したか ~ フィッシングメール 596 件対象に分析

    SPF / DKIM / DMARC はどう機能したか ~ フィッシングメール 596 件対象に分析

  3. 岡山県精神科医療センターにランサムウェア攻撃、電子カルテのシステムで不具合

    岡山県精神科医療センターにランサムウェア攻撃、電子カルテのシステムで不具合

  4. 「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

    「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

  5. セキュリティ企業ホラ吹きCEOバカ一代記

    セキュリティ企業ホラ吹きCEOバカ一代記

  6. バッファロー製 Wi-Fi ルータ WSR-1166DHP シリーズのボット感染を確認、複雑なパスワードへの変更を呼びかけ

    バッファロー製 Wi-Fi ルータ WSR-1166DHP シリーズのボット感染を確認、複雑なパスワードへの変更を呼びかけ

  7. 日経225企業 9割 DMARC導入も「quarantine」「reject」設定は 26.8%、ワンクリック購読解除利用率は 77.7%

    日経225企業 9割 DMARC導入も「quarantine」「reject」設定は 26.8%、ワンクリック購読解除利用率は 77.7%

  8. 北洲のサーバに不正アクセス、攻撃者が一部ファイルを開いた可能性を確認

    北洲のサーバに不正アクセス、攻撃者が一部ファイルを開いた可能性を確認

  9. インテンス運営「fofo」に不正アクセス、15,198 件のカード情報が漏えい

    インテンス運営「fofo」に不正アクセス、15,198 件のカード情報が漏えい

  10. 自工会と部工会のサイバーセキュリティガイドライン2.1版に対応した「コーポレートセキュリティメニュー」提供

    自工会と部工会のサイバーセキュリティガイドライン2.1版に対応した「コーポレートセキュリティメニュー」提供

ランキングをもっと見る