FREAK攻撃に脆弱な人気Androidアプリは1000件以上にも - FireEye

FireEyeでは、Google Playでのダウンロード数が100万回を超える人気Androidアプリ1万985種類について解析した結果、脆弱なHTTPSサーバーへ接続する脆弱なOpenSSLライブラリの使用により実に1228種類(全体の11.2%)のアプリがFREAK攻撃に対して脆弱であることがわかったという。

これら1228種類のアプリのダウンロード回数は、合計すると63億回以上にのぼる。1228種類のAndroidアプリのうち、Androidのバンドル版OpenSSLライブラリを使用しているものは664種類、自社コンパイルのOpenSSLライブラリを採用しているものは564種類。こうしたOpenSSLバージョンはすべて、FREAKに対して脆弱となる。

次の表は、セキュリティやプライバシーの観点から機密性の高い分野におけるAndroidとiOSの脆弱なアプリの数を示したもので、スポーツやゲームといった、機密性が比較的低い分野については、表には含まれていない。赤い部分で示される通り、FREAKの脆弱性はアプリ開発者によって修正が進められている。

攻撃のシナリオの一例として、攻撃者は人気のショッピングアプリにFREAK攻撃を用いることで、ユーザーのログイン情報やクレジットカード情報を盗むことが可能で、また、医療アプリや生産性アプリ、金融アプリなど、機密性の高いアプリが狙われることもある。