ソニーデジタルネットワークアプリケーションズ(ソニーDNA)は10月30日に、「Androidアプリ脆弱性レポート」を公開した。脆弱性とは、OSやアプリケーションソフトに内在するバグのことで、設計段階での見落としや、プログラム技術の未熟さが原因で起きることが多い。脆弱性を突く攻撃が行われると、アプリが予想外の挙動をしたり、アプリが保管している情報が漏えいしたりする。同じくバグが原因の「アプリが固まる」といった単純なものではないのだ。
レポートでは、広く公開されているアンドロイドアプリの中から人気の6170本を対象とし、同社の「セキュアコーディングチェッカー」を実行した結果を公表。すると、約96%に当たる5902本のアプリが、何らかの脆弱性リスクを抱えていることが分かったという。
とはいえ大部分は、アプリ開発者にセキュアコーディングの知識があれば防げるもの。たとえば、アンドロイドはアプリ間連携の仕組みが充実しており、アプリ内のコンポーネントを外部に公開して他のアプリからも使えるようにアクセス権を設定できる。ただ、わかっていて公開しているのか、知らずに公開しているのかでは意味が違う。ソニーDNAの調査によれば、8割以上のアプリ開発者が、コンポーネントのアクセス制御の必要性を感じていないことも判明したという。他にもいろいろな例はあるが、それらをアプリ開発者が意識するだけで「脆弱性リスクを抱えたアプリは3割程度に減るはず」(ソニーDNA藤村聡氏)。
開発環境の整え易さから、アンドロイドアプリの開発者は増えているが、公開したアプリが思いもよらぬところで悪用される危険性もある。プログラミング技術を磨くのと並行して、セキュアコーディングチェッカーのようなサービスを利用してもいいだろう。