2021年02月01日 08時00分 公開
特集/連載

Androidのライブラリに致命的なバグ――多数のアプリが未対応開発者は修正済みライブラリの適用を

Google Play Coreライブラリには致命的なバグがあった。Googleは2020年4月に同ライブラリを修正したが、このライブラリを使用している多くのアプリが未対応のまま放置されている。

[Alex Scroxton,Computer Weekly]
iStock.com/Palto

 「Android」アプリの開発者が「Google Play Core」ライブラリをアップデートしないと、何百万人ものユーザーがリスクにさらされるとCheck Point Software Technologiesが警告している。多くのAndroidアプリで使われているGoogle Play Coreライブラリにはバグがあり、Googleは2020年4月にアップデートを行った。

 CVE-2020-8913の欠陥は、ローカルでコードを勝手に実行する脆弱(ぜいじゃく)性だ。この脆弱性を利用してあるアプリを標的とする「APK」(Android Package Kit)を作成し、それを標的とするアプリのコードとして実行すると端末内のデータにアクセスできる。アクセスできるデータには、ログイン資格情報、財務情報、プライベートなメッセージや写真などの個人情報が含まれる恐れがある。

 この脆弱性はGoogle Play Coreライブラリに起因する。Google Play Coreライブラリは、開発者が独自のアプリ内更新や新機能モジュールをプッシュできる重要な要素だ。2020年9月時点で「Google Playストア」で入手できるアプリの約13%がGoogle Play Coreライブラリを使用している。

 Googleは前述の通りこの脆弱性用のパッチを適用した。サーバ側の脆弱性であれば、パッチを適用した時点で解決する。だが、これはクライアント側の脆弱性だ。

 Google Play Coreライブラリを利用している開発者がパッチ適用済みのGoogle Play Coreライブラリを取得して、自身のアプリにインストールする必要がある。だが8カ月たった今、パッチに対応していないアプリはまだ多い。

 Check Point Softwareでモバイルリサーチ部門のマネジャーを務めるアビラン・ハズム氏は次のように話す。「当社は、何億人ものAndroidユーザーがセキュリティのリスクにさらされると見積もっている。Googleはパッチを実装したが、多くのアプリでまだ古いGoogle Play Coreライブラリが使われている」

 「CVE-2020-8913の危険性は高い。攻撃者がこの脆弱性を悪用すると、アプリの内部でコードを実行して、そのアプリと同じアクセス権を入手できる。二要素認証のコードを盗み出したり、銀行アプリにコードを挿入して資格情報を入手したりすることが可能だ」(ハズム氏)

 「ソーシャルメディアアプリにコードを挿入して被害者をスパイしたり、インスタントメッセージアプリにコードを挿入して全てのメッセージを入手したりすることもできる」とハズム氏は話す。

 Check Point Softwareが著名なアプリを無作為に選んで簡単に調べると、「Bumble」「Microsoft Edge」「Grindr」「PowerDirector」「XRecorder」「Yango Pro」にはこの欠陥がまだ存在する。「Booking.com」「Cisco Webex Teams」「Moovit」「Viber」は問題が解決されていることを確認した。

 Check Point Softwareはアプリの開発者全てに連絡しているが、本稿執筆時点(2020年12月)では更新されているかどうかは明らかではない。

 端末にモバイル脅威防御(MTD)ソリューションをインストールしていないユーザーは、そのインストールを検討する必要がある。企業が支給した端末を利用しているユーザーならば、企業のモビリティー管理戦略の一環としてMTDがインストールされているだろう。

 現在入手可能なMTDツールには、「Proofpoint Mobile Defense」「Symantec Endpoint Protection Mobile」「Zimperium zIPS」「SandBlast Mobile」などがある。

ITmedia マーケティング新着記事

news089.png

中小企業のDX支援へ「HubSpot CRM」と「Eight 企業向けプレミアム」が機能連携
名刺情報をコンタクト情報と同期させることでユーザー企業は社員が個別に蓄積してきた名...

news065.jpg

「E-Waste」最新事情 国民一人当たりで最も多くの電子廃棄物を排出しているのは?
マーケターの頭の片隅を刺激するトピックをインフォグラフィックスで紹介。

news154.jpg

「不祥事によって購入・利用意向が下がる」 回答者の6割以上――ネオマーケティング調査
20〜69歳の男女1000人に聞いた、広報のリスク管理に関する調査の結果です。