スマホユーザーの多くは、日々使用しているアプリが安全だと思い込んでいる。しかし、セキュリティ会社「NowSecure」がGoogle Playで人気上位のアプリ250個を調査した結果、70%について個人データの漏洩リスクがあることが判明した。
同社によると、最もリスクが高かったのは小売企業によるアプリだったという。これらのアプリのうち、6つに1つが「ハイリスク」に分類される深刻な脆弱性を持つことが判明した。
ハイリスクに分類された1つが、米百貨店チェーン「Kohl’s」のアプリだ。NowSecureが実施したテストでは、17もの脆弱性とプライバシーリスクが発見された。同アプリはデータをプレーンテキストで送信しており、ハッカーはユーザーを特定して個人情報を盗み取ることができる状態であったという。Kohl’sはパッチを適用し、現在では脆弱性は解消されている。
また、これまでに100万回以上ダウンロードされている人気のショッピングアプリ「BuyVia」では、15の脆弱性が発見され、ハッカーがフィッシング攻撃に使用できる個人情報が漏洩していた。現在、同アプリはGoogle Playストアから削除されている。
小売りの次に脆弱性が多く見つかったカテゴリーはトラベルだった。NowSecureの調査でトラベルアプリの67%に個人データの漏洩リスクが発見された。トラベルアプリは、パスポート番号や決済情報など、機密性が特に高い情報を含む。
特にリスクが高かったのが、マレーシアの有名格安航空会社のアプリだ。同アプリには11の脆弱性が見つかり、ハッカーが通信する2者の間に割り込んで情報を盗む「中間者攻撃」のリスクが非常に高かったという。
他にも、金融や保険のカテゴリーでも大きなリスクが発見された。特に問題が多く見つかったのが「バークシャー・ハサウェイ」のアプリで、15の脆弱性が見つかったという。同アプリは、これまでに10万回ダウンロードされているが、機密性の高いデータを暗号化しておらず、ハッカーはユーザー名、電話番号、メールアドレス、GPS情報、端末IDなどを盗むことが可能だという。
フォーチュン500企業に名を連ねる大手保険会社のアプリでも、3つの脆弱性が見つかった。アプリが同社サーバーと通信する際のセキュリティ対策が不十分で、ハッカーに個人データを盗まれるリスクがあるという。
企業の大半が問題アプリを放置
ローカルニュースアプリでも、調査したほぼ全てのアプリで問題が見つかった。NowSecureが米国の全国ニュースとローカルニュースのアプリ100個を調査したところ、ほぼ全てに個人データの漏洩リスクが見つかり、40%については深刻な脆弱性が検出されたという。
ニュースカテゴリーでこのような問題が起きている主な原因は、ごく少数のアプリ開発者によってほぼ全てのニュースアプリが開発されていることにある。開発者がセキュリティ対策を怠った場合、その企業が手掛けた全てのアプリで同じ問題が生じることになるのだ。ローカルな報道会社の多くは、自社でアプリを運営する予算がないため、サードパーティのベンダーに依存しているのが実情だ。
NowSecureはアプリの運営企業にリスクを通達したものの、その多くは回答をせず、問題を放置したままだという。
「消費者は、信頼して使用しているアンドロイドアプリの多くで個人データが漏洩するリスクがあることを認識する必要がある。企業側も、自社が運営するアプリの脆弱性を解消しない限り、安全でないことを理解する必要がある。アンドロイドアプリの開発者は、安全性の高いプログラミング・プロトコルに忠実に従う必要がある」とNowSecureのCEOであるAlan Snyderは指摘した。
