2016年1月18日 12:43
アプリとバックエンドサービス間の実装に不備多し? - マカフィー
Webサービス事業者がモバイルアプリを制作する際に必要とするものが、データストレージやデータ管理機能などのバックエンドサービスだ。
AmazonやFacebook(Parse)、Googleがこの種のサービスを提供しているが、これらのサービスはあくまでアプリインフラを提供するものであり、セキュリティのガイドラインをアプリ開発者が順守しなければ、セキュリティは脆弱なものとなる。例えば、多くのモバイルアプリは秘密鍵をアプリに組み込んでおり、銀行口座情報、クレジットカード情報などの重要なデータの操作はアプリのベース部分とは異なる領域を使用することが推奨されている。
その一方で、マカフィーがドイツのダルムシュタット工科大学やフラウンホーファー研究機構安全情報技術研究所と共同で200万個のモバイルアプリを調査したところ、多くのアプリが脆弱な状態にあり、氏名やメールアドレス、パスワード、写真、口座情報、医療記録などを保存しているクラウドストレージへの不正アクセスが可能だったという。こうした情報は当然、なりすまし犯罪やマルウェア配布、金銭の詐取につながるおそれがある。
ただし、マルウェアが埋め込まれたモバイルアプリもセキュリティの甘い場合は調査することができる。