多くのスマホアプリは脆弱性を放置したまま提供 - マカフィー

マカフィーは3月16日、セキュリティ研究機関であるMcAfee Labs(マカフィー ラボ)が2014年第4四半期の脅威レポートを発表した。主にモバイル向けの脅威に関する注目点を解説している。

1つは、アプリの提供業者はがSSLの脆弱性(不適切なデジタル証明書チェーンの検証)への対処が遅れていると指摘。マカフィー ラボが25の人気アプリを検証した結果、18のアプリで脆弱性が確認された。一部のアプリは、バージョンアップを繰り返しながらもセキュリティの問題が放置されていた。

脆弱性のあるアプリに対して中間者(Man-in-the-Middle)攻撃を試すと、SSLセッション中に共有情報の傍受が可能であった。傍受したデータにはSNSのログイン認証情報などが含まれていたという。モバイルアプリ開発者がSSLの脆弱性を修正しないことで、アプリをインストールしたユーザーが中間者攻撃のターゲットになっている恐れがあると指摘している。

もう1つは、「Anglerエクスプロイトキット」が増加している点だ。Anglerは、セキュリティ製品から発見されにくくする機能を実装しており、駆除が困難となっている。