マルチプラットフォーム開発ツールに起因する脆弱性
前回調査(2015年)と今回調査(2017年)の間に、Androidアプリ開発を取り巻く環境は大きく変わったという。最大のトピックは、異なるOS向けのアプリを単一のソースコードから生成できる「マルチプラットフォーム開発ツール」の利用が広まってきたことだ。
中でも開発ツール「Cordova」の普及は、目覚ましいものがある。今回の調査対象となったAndroid アプリの中にも、Cordovaを使って開発されたものが一定数含まれていたが、調査を担当したソニーデジタルネットワークアプリケーションズ株式会社 事業1 部 セキュリティ技術課 小木曽純氏は、「使い方を誤ると脆弱性の要因になり得る」と指摘する。
「古いバージョンのCordovaを使って開発されたAndroid アプリには、脆弱性が存在することが知られています。そのため、Cordovaを使ってアプリを開発する際には新しいバージョンを使うよう気をつけるとともに、現在でも古いバージョンで開発されたアプリが一定数流通していることを常に気に留めておくべきでしょう」
Cordova使用アプリと脆弱性
アプリ脆弱性対策の第一歩は「可視化」から
脆弱性の傾向や詳細が分かったとしても、自社で開発したAndroidアプリに含まれる脆弱性を把握できないことには、どこからどう手を付けたらいいか分からない。かといって、膨大な量のソースコードの内容を精査したり、外部のセキュリティサービスに調査を依頼するとなると、多大な時間とコストがかかる。
そこでSDNAでは、既存のAndroidアプリにどんな脆弱性が存在し、それに対してどんな対処を講じればいいかを即座に可視化できるツールを提供している。無償のトライアル版も提供しているので、脆弱性対策の第一歩としてぜひ役立ててほしい。
【関連リンク】
