多くの人気Androidアプリにぜい弱性:個人情報流出の恐れも

ニューヘイブン大学の研究者グループが、多数のAndroidアプリのぜい弱性を発見しました。データが暗号化されておらず、パスワードなどの重要な情報が流出する可能性もあります。

チャットアプリのプライバシー

ニューヘイブン大学のサイバーフォレンジック研究・教育グループ(Cyber Forensics Research and Education Group:cFREG)のリサーチャーらが、Instagram、Vine、OKCupidなどの人気Androidアプリのぜい弱性を明らかにしました。これらのアプリをAndroidデバイスにインストールしている人は約9億6,800万人いますが、このバグのために個人情報が流出する恐れがあります。

Threatpostを担当している私の同僚、クリス・ブルック(Chris Brook)の記事によると、これらのバグの大半は、ぜい弱性を抱えたアプリを管理するサーバーに暗号化されていないコンテンツが格納されていることが原因です。同大学のリサーチャーグループは、これらのバグをYouTubeで公開しています。

「これらのアプリが送信するデータはすべて、送信者から受信者まで安全に届けられるはずのものですが、他人に見られる可能性があることがわかりました。データが暗号化されておらず、使っている人には何の手がかりもないからです」

「今回テスト対象となったアプリを使ったことがある人や、今も使っている人は、重要な情報を盗まれてしまう恐れがあります。漏えいの可能性があるデータは多岐にわたり、パスワードの流出も考えられます」。ニューヘイブン大学タグリアテラ工学部のコンピューターサイエンスの助教授で、cFREGの責任者を務めるエイブ・バギリ(Abe Baggili)氏はこのように述べました。

Threatpostによると、ユーザー間で共有されていた写真や、Instagramのサーバーに平文で保存されていた過去の画像が、Instagram Directのメッセージ機能から流出していました。リサーチャーらは、HTTP経由で特定のキーワードを見つけ出すことにも成功し、広く利用されているオンライン出会い系サービス「OKCupid」のユーザーが共有していた一定の情報を閲覧することができました。ooVooというビデオチャットアプリには、Instagram Directアプリとほぼ同じぜい弱性がありました。Instagramが部分的にしか暗号化されていないという問題は、Kaspersky Daily(当ブログ)の以前の記事でも取り上げています。

無料通話とメッセージングのアプリでは、他にもTango、Nimbuzz、Kikがバグを抱えており、リサーチャーらは画像、位置情報、動画を取得することができました。Nimbuzzがユーザーパスワードを平文で保存していることも確認されています。

MeetMe、MessageMe、TextMeはいずれも、暗号化されていない平文の状態で情報を送信しており、これらのアプリをローカルネットワークで使用していると、通信内容を攻撃者に見られてしまう恐れがあります。送受信される画像や共有される位置情報も同様です。さらに、ログイン情報が平文で保存されたTextMeのデータベースファイルを見ることも可能でした。

Grindr、HeyWire、Hike、TextPlusのバグも、基本的には同じものです。WireSharkのような手軽に手に入るツールを使えば、メッセージ、画像、共有された位置情報を簡単に盗むことが可能です。また、Grindr、HeyWire、TextPlusで送信された画像は、各サービスのサーバーに何週間も平文で残っており、認証もかけられていませんでした。

リサーチャーの1人は次のように話しています。「Androidのバックアップ抽出ツールHeliumBackupを使用して、TextPlusのAndroidバックアップファイルにアクセスすることができました。ファイルを開くと、自分たちが撮影した覚えのないユーザーアクティビティのスクリーンショットがありました。スクリーンショットが撮られた目的や、デバイスに保存されている理由はわかりません。」

最後の動画では、アプリストレージに重要情報を保存するアプリが取り上げられました。問題は、TextPlus、Nimbuzz、TextMeがいずれもログイン情報を平文で保存していたことです。さらに、この3つのアプリの他に、MeetMe、SayHi、ooVoo、Kik、Hike、MyChat、WeChat、HeyWire、GroupMe、LINE、Whisper、Vine、Voxer、Words With Friendsがチャットログを平文で保存していました。

「これらのアプリが送信するデータはすべて、送信者から受信者まで安全に届けられるはずのものですが、他人に見られる可能性があることがわかりました。データが暗号化されておらず、使っている人には何の手がかりもないからです。」(バギリ氏)

リサーチャーたちは問題のアプリの開発元に連絡しようとしましたが、まずはお決まりのサポート連絡フォームに入力しなければならず、開発元に直接連絡することはできませんでした。エイブ・バギリ氏はメールインタビューで、自身とチームが発見したバグのいずれかをベンダーが修正したかどうかはわからない、と述べています。

我々は確認のためにInstagramに問い合わせましたが、まだ同社からコメントを得られていません。

こうしたアプリの開発元が、今回紹介したバグの修正を予定しているかどうかは不明です。

ただ、CNETがInstagram、Kik、Grindrに接触しました。Instagramは、Androidアプリの全面暗号化を進めているところであり、それで問題を解決できるだろうと述べています。Kikは、ユーザー同士で共有するスケッチの暗号化に取り組んでいるものの、チャットログを暗号化する予定はないと述べ、その理由として、チャットログは他と切り離されており、スマートフォン上のその他アプリからはアクセスできないことを挙げました。同社の主張によれば、このようなデータストレージは業界標準だそうです。Grindrは、こうしたセキュリティ調査報告を確認し、必要であると判断した場合に変更を行う、と述べるにとどまりました。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?