劣化したライブラリが招くAndroidアプリのリスク | ScanNetSecurity
2024.06.22(土)

劣化したライブラリが招くAndroidアプリのリスク

アプリ開発において、オープンソースライブラリやGitHubのようなレポジトリはなくてはならないものだが、そこには落とし穴もある。

研修・セミナー・カンファレンス セミナー・イベント
PacSecで講演するMarc Schonefeld氏
PacSecで講演するMarc Schonefeld氏 全 3 枚 拡大写真
アプリ開発において、オープンソースライブラリやGitHubのようなレポジトリはなくてはならないものだ。多くのソフトウェアに利用され実績もあるライブラリは、完成コンポーネントとして使えるメリットの他、メジャーなものなら脆弱性の心配も少ないはずだ。

一般論としてはその通りなのだが、そこには落とし穴もある。

●本当は危険なライブラリ

例えばアンドロイドのアプリにおいては、標準的なSDKだけで開発すると、パフォーマンスが出ない、最新機能を使いたい、既存システムやサービスなどにつなぐ必要がある、といった理由で、C/C++のライブラリを利用することがある。

これは本質的に危険であり利用を避けるべきだという専門家もいる。Marc Schonefeld氏は、Google Play Storeの多数のアプリを検証し、それらに潜む脆弱性について研究している。その中で、100万、1,000万ダウンロードされるようなメジャーなアプリについても、危険なライブラリに由来する脆弱性が残っていると警告する。

Schonefeld氏は、PacSec Tokyo 2017において、自身の調査結果とともに具体的なライブラリ名を挙げながら、古いライブラリ、とくにパッケージに組み込まれてバージョンがわからないようなもの、利用そのものが忘れ去られているものの危険性を指摘した。オープンソースライブラリなどは、管理するベンダーやコミュニティによってアップデートされていくが、アプリにインポートされたライブラリは、適宜のメンテナンスを怠ると「劣化」していくことになる。このリスクは、OWASPでもトップ10に入るものだ。

  1. 1
  2. 2
  3. 続きを読む

《中尾 真二》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  3. フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

    フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

  4. セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨

    セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨PR

  5. 横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

    横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

  6. 杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

    杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

  7. 今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

    今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

  8. ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

    ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

  9. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  10. 日本の CISO の 66%「ヒューマンエラーは最大のサイバー脆弱性」 ~ プルーフポイント「CISO意識調査レポート 2024」

    日本の CISO の 66%「ヒューマンエラーは最大のサイバー脆弱性」 ~ プルーフポイント「CISO意識調査レポート 2024」

ランキングをもっと見る