モバイルアプリ本体が「OpenSSL」の脆弱性の影響を受ける危険性あり

ブロードバンドセキュリティ

2014年4月17日（木） 15時15分

注目記事

　トレンドマイクロは4月17日、バンドルされたOpenSSLライブラリによって、モバイルアプリ本体が「OpenSSL」の脆弱性“Heartbleed”の影響を受ける危険性について公表した。

　OpenSSLを搭載したAndroid端末では、Android 4.1.1バージョンのものが影響を受けることがすでに判明している。4.1.1を搭載したモバイル端末は、OpenSSLがインストールされたすべてのアプリがこの脆弱性の影響を受け、「OpenSSLを利用してSSL／TLS接続が確立し、脆弱性の影響を受けたアプリは、端末のメモリから情報を収集するために乗っ取られる可能性がある」とされている

　これに対しトレンドマイクロは、「該当のバージョンを搭載していないモバイル端末でも、アプリ自体に問題がある」と指摘。Google Play内の273のアプリに、脆弱性の影響を受ける独立型のOpenSSLライブラリがバンドルされていることを確認したとしている。

　これら273のアプリの一覧には、去年人気を博したゲームや、VPNクライアント、セキュリティ対策製品、人気の動画プレイヤー、インスタントメッセンジャ、VOIP電話など多くのアプリが含まれているとのこと。Googleアプリの古いバージョンにも、この脆弱性は存在する。

　脆弱性を抱えるVPNクライアントやVOIPアプリから不正なサービスに接続した場合、秘密鍵やその他の認証情報が収集される恐れがあるとのこと。そのためトレンドマイクロでは、アプリ開発者に、OpenSSLライブラリの更新を速やかに実施し、ユーザーに公開することを推奨している。

《冨岡晶》