何百ものiOSアプリからデータが漏洩
セキュリティ研究者は、iOSとAndroidアプリが3,000以上のユーザーデータを漏洩させ、平文パスワード、健康情報、GPS位置情報などを含む1億件を超える情報が流出したとしています。
モバイルアプリのセキュリティ企業であるAppthorityの新しいレポート「Q2 2018エンタープライズモバイル脅威レポート」によると、この問題は、「HospitalGownの脆弱性」と呼ばれる新しいウイルスの亜種によって引き起こされています。
HospitalGownは、「バックエンドのデータストアを介して漏洩した」データを扱うため、名前を付けられ、2017年にAppthority Mobile Threat Teamによって最初に特定されました。
今、Appthorityは、アプリ開発者がGoogle Firebaseクラウドデータベースの認証を要求しないときに問題が発生していると報告しています。
これは開発者が一般的な開発ツールを使用しているときにデフォルトでは行われません。
Appbaseは、Firebaseデータベースを使用している1,275のiOSアプリのうち、600個のアプリに脆弱であることを発見しました。
全体として、3000個以上のアプリが2,271個がデータベースからデータを漏洩していました。
漏洩した情報の中には、パスワード以外にも、保健、金融に関する情報も
また、漏洩したデータには、プレーンテキストのパスワードとユーザーIDが260万件、保健医療情報が400万件以上、財務記録が50,000件あります。
Appthorityはレポートで次のように語っています。
「データを適切に保護するために、開発者はすべてのデータベースのテーブルや行に対してユーザー認証を具体的に実装する必要があります。」
さらに、攻撃者がオープンなアプリケーションデータベースを見つけ出し、数百万の民間モバイルデータアプリの記録にアクセスするのにはほとんど手間がかかりません。
先週の調査結果を報告したBleeping Computer氏によると、漏洩に対して脆弱性を持っているのはほとんどがGoogleの製品だとしています。
多くのAndroid開発者が使用する一部のiOSアプリは、データを保存し分析するサービスにも依存しており、データベースへのアクセスが容易であることが理由としてあげられます。
Appthorityは、Firebaseのバックエンドにデータを格納していた28,502のモバイルアプリ(27,227 Androidと1,275 iOS)を識別するために、270万のiOSとAndroidアプリを評価しました。
Appbaseはまた、データベース使用が増加するにつれて、脆弱なアプリケーションの量も同様に増加することを指摘しています。
2017年、Firebase DBを使用している53,010のアプリのうち4,578(9%)が脆弱でした。
Appthorityは、開発者がデータをより効果的に保護することを推奨しています。
「Appthorityは、第三者が開発した内部アプリ、社内開発のアプリ、従業員の生産性向上のための公開アプリの徹底的なセキュリティレビューを実行する必要があります。」
「Appthority Mobile Threat Protectionなど、アプリ脅威とバックエンドの脆弱性に焦点を当てた自動化されたMTDソリューションなしで、EMMに公開されているエンタープライズアプリと公開アプリで、この脅威にさらされたデータの可視性を実現するのは難しいかもしれません。」
Googleはこの問題を通知され、影響を受けるアプリやサーバーのリストを提供しました。
今後の方針はどうなる?
AppleやGoogleの審査を経て公開されたアプリに脆弱性が含まれており、それによって情報が漏洩する自体に対して私たちはなすすべがありません。
アプリケーションを更新することで、脆弱性に対応することができます。
ですが、そもそもメーカーが脆弱性を認識せず、アプリの更新を行わなければ、情報の漏洩に対応することができません。
公開されているアプリは無数あり、全てのアプリに対応するのはほぼ不可能です。
アプリをインストールするときにはメーカーがしっかりとサポートしているアプリを選びましょう。
サポートしていないメーカーのアプリは、ハッキングの対象になります。
また、iOSやAndroid OSのアップデートも忘れないで行いましょう。
アプリのバージョンが最新でも、iOSやAndroid OSが古いと個人情報が流出する可能性があります。
アップデートが公開されたらすぐに適用するように心がけましょう。
最新のiOSが適用できないiPhone、iPadは新しい機種に買い替えを検討しましょう。
Source:appleinsider
