アプリ検出
18.Aug.2020
モバイルアプリが発展繁盛 あなたが使ってるアプリは本当に安全なのか?
テクノロジーとネットワーク伝送の発展に伴い、モバイルデバイスの運用が普及になっており、アプリケーションも増えてきました。人々に高い利便性をもたらしています。衣食住、交通、教育、娯楽などに、生活の不可欠な部分となっています。したがって、個人情報が盗まれる手段にもなります。アプリをダウンロードするときに、アドレス帳、電話、マイクやGPSの位置など、携帯電話の使用許可を求められることがよくあると思います。ほとんどのユーザーは、権限の要求におけるアプリの関連性に注意を払わず、悪意のあるアプリがシステム権限を取得し、多くの重要な情報が漏洩します。 この前、携帯電話のSMSへのアクセス許可を要求する悪意のある美顔カメラアプリがあり、それによって携帯電話に送信されるSMS認証コードを取得します。さらに支払いメカニズムをアクティブにして、ユーザーのお金を盗みました。アプリに必要以上な権限を要求されたほか、一般的なセキュリティ上の脆弱性があり、ユーザーデータの漏洩を引き起こす可能性があります。引き続き、一般的なアプリの脆弱性について説明します。
「Open Web Application Security Project」(OWASP)が公開した一般的なモバイルデバイスのリスクレポートによると、ほとんどのアプリには冗長な機能モジュール、不安全なデータストレージと送信などセキュリティ上の問題があります。これらのリスクはすぐに被害を発生しませんが、今日のハッカーの技術と手法は危険で多変化です。実際に使用されていないモジュールが見つかれ、ハッキングされたら、データの漏えいや悪意のあるデータの改ざんなどを発生したり、また企業の内部システムに連鎖的な悪影響を直接引き起こす可能性があります。 たとえば、「USBデバッグ」(USB Debugging)は、USB接続を介してAndroid SDK(ソフトウェア開発キット)と通信する方法です。これにより、ユーザーはパソコンを介してAndroidデバイスを制御したり、ファイル転送をしたりします。ログファイルや構成ファイルなど、システムとアプリの操作情報などを取得できます。過去にも、マルウェアがUSBを介してAndroidデバイスに感染させたことがあります。「USBデバッグ」は両刃の剣とも言えます。システム情報を取得すると同時に、モバイルデバイスを簡単に制御できる状態になるため、通常はこの機能をオフにすることをお勧めします。
「Open Web Application Security Project」(OWASP)が公開した一般的なモバイルデバイスのリスクレポートによると、ほとんどのアプリには冗長な機能モジュール、不安全なデータストレージと送信などセキュリティ上の問題があります。これらのリスクはすぐに被害を発生しませんが、今日のハッカーの技術と手法は危険で多変化です。実際に使用されていないモジュールが見つかれ、ハッキングされたら、データの漏えいや悪意のあるデータの改ざんなどを発生したり、また企業の内部システムに連鎖的な悪影響を直接引き起こす可能性があります。 たとえば、「USBデバッグ」(USB Debugging)は、USB接続を介してAndroid SDK(ソフトウェア開発キット)と通信する方法です。これにより、ユーザーはパソコンを介してAndroidデバイスを制御したり、ファイル転送をしたりします。ログファイルや構成ファイルなど、システムとアプリの操作情報などを取得できます。過去にも、マルウェアがUSBを介してAndroidデバイスに感染させたことがあります。「USBデバッグ」は両刃の剣とも言えます。システム情報を取得すると同時に、モバイルデバイスを簡単に制御できる状態になるため、通常はこの機能をオフにすることをお勧めします。
USBデバッグモード
機密情報の保存または送信を暗号化する必要があります
過去に蓄積されたアプリ検出テストの結果を分析すると、開発者は怠って機密情報をプレーンテキストで保存することが最も高いです。工業産業局のアプリ検出テスト基準によると、構成ファイル、データベースファイル、一時ファイル、ログファイルなどの機密データを含む、モバイルデバイスに保存されたアプリのコンテンツは、プレーンテキストで保存してはならず、個人情報を保護するために暗号化する必要があります。したがって、アプリで機密データの保存または送信中に暗号化されていない、またはプレーンテキストで不安全な保存場所に直接保存されている場合に、不正なアプリからアクセスされ、個人のプライバシーを漏洩する可能性があります。
機密情報をプレーンテキストで保存
証明書を正しく確認しないと、重要な情報が漏洩する可能性があります
ほとんどのアプリはネットワーク接続を介してサーバーと通信する必要があります。接続プロセスのセキュリティ保護を無視され、アプリが正しいサーバーに接続されていない場合、攻撃者は中間者攻撃(Man-in-the-Middle Attack、MITM)を利用し、メッセージを改ざんしたり、データを盗んだり、悪意のあるプログラムを埋め込むことができます。したがって、開発者は、開発プロセス中に証明書の正確さをチェックすることに注意を払う必要があります。証明書の有効期限が切れているか、発行元の情報が正しくない場合は、重要なデータの漏えいを防ぐために、すぐに接続を終了する必要があります。次の図は一例であり、アプリが接続セキュリティをチェックしない場合、攻撃者はそこからユーザーのログインアカウントとパスワードを取得できます。
中間者攻撃の概略図。機密のユーザー情報を傍受できます
モバイルアプリの情報セキュリティソリューション
企業が直面するアプリ情報セキュリティ問題に対応して、Onward Securityは2016年にモバイルアプリケーションの情報セキュリティテスト基準ラボの資格を取得して以来、500個以上のアプリテスト経験を蓄積してきました。顧客の分野は、政府、金融、通信、ハイテク、 IoT、航空、オンラインショッピングなど。さらに、Onward Securityは、ソースコードスキャン、脆弱性スキャン、侵入テスト、情報セキュリティコンサルティング、教育とトレーニングとその他の専門的な情報セキュリティサービスを含む、国際的なモバイルアプリガイドラインOWASP Mobile Security Testing Guideに従ってテストサービスを提供します。メーカーのセキュリティ強化、セキュリティテストとコンサルティングによって提供するワンストップアプリセキュリティ開発サービスでクラウドサービスとアプリセキュリティを全面的に改善します。
References:
[1] TREND MICRO Security Intelligence Blog,< Fake Photo Beautification APPs on Google Play can Read SMS Verification Code to Trigger Wireless Application Protocol (WAP)/Carrier Billing>,2019.10.。
https://blog.trendmicro.com/trendlabs-security-intelligence/fake-photo-beautification-APPs-on-google-play-can-read-sms-verification-code-to-trigger-wireless-APPlication-protocol-wap-carrier-billing/
[2] iThome,〈遺留無用功能或檔案而疏於防護〉,2019.04。
https://www.ithome.com.tw/news/130259.
[3] 商業周刊,〈導入APP資安檢測〉,2019.07。閱於2020.06.29。
https://www.businessweekly.com.tw/focus/indep/38870.
[4] 經濟部工業局,〈行動應用APP安全開發指引v1.2〉,2019.06。
[5] OWASP,“OWASP Mobile Top 10 2016”,2016.03。
https://owasp.org/www-project-mobile-top-10
