古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

Androidアプリ内に大手サービスの「鍵」、AWSアカウントにアクセスも?

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/01/17
Androidアプリ内に大手サービスの「鍵」、AWSアカウントにアクセスも?: Fallibleのページ © ITmedia エンタープライズ 提供 Fallibleのページ

 米セキュリティ企業Fallibleは、Androidアプリをリバースエンジニアリングして調べた結果、大手サードパーティーのサービスにアクセスできるAPIキーなどがハードコードされたアプリが多数見つかったと報告した。Amazon Web Services(AWS)などのサービスに保存した情報が危険にさらされる恐れもあると警鐘を鳴らしている。

 同社は2016年11月に、Androidアプリのセキュリティ問題をチェックする目的でリバースエンジニアリングツールを開発し、Webベースツールとして公開。同ツールを使ってユーザーが調べた約1万6000本のアプリを分析した。

 その結果、1万6000本のうち約2500本で、サードパーティーのサービスにアクセスするためのAPIキーやトークンがハードコードされているのが見つかった。中でも304本からは、本来ならアプリにハードコードすべきではない大手サードパーティーサービスのAPIキーなどが見つかったという。

 こうしたアプリでは、例えばUberのAPIを利用し、Uberのアプリ経由でアプリ内通知を送信することが可能だった。

 AWSのアクセスキーがハードコードされたアプリの中には、インスタンスの作成や削除が可能な特権を持つものもあったという。

 ほかにもTwitterやInstagram、Dropboxといった人気サービスのAPIキーやトークンがハードコードされたアプリが見つかったといい、Fallibleではアプリ開発者に対し、「アプリにAPIキーやトークンをハードコードする場合、本当にハードコードが必要なのかをよく考える必要がある」と呼び掛けている。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon