多くのモバイルアプリケーションが安全でないAPIを通じて機密情報を露出しており、ユーザーや企業が攻撃に対して脆弱な状態に置かれています。
本日発表された2025年Zimperiumグローバルモバイル脅威レポートによると、Androidアプリの3つに1つ、iOSアプリの半数以上が悪用可能なデータを漏洩しています。
全アプリのほぼ半数が依然としてAPIキーなどのハードコーディングされたシークレットを含んでおり、アプリが公開されると攻撃者がリバースエンジニアリングして悪用できる状態です。
拡大する攻撃対象としてのモバイルアプリ
レポートによると、クライアント側の脆弱性が新たな悪用経路を生み出しています。攻撃者はアプリを改ざんしたり、通信を傍受したり、侵害されたデバイスを利用して防御を回避することができます。
その他の主な調査結果は以下の通りです:
-
400台に1台のAndroidデバイスがroot化されており、2500台に1台のiOSデバイスが脱獄されています
-
1000台中3台のモバイルデバイスはすでに侵害されています
-
5台に1台のAndroidデバイスが実際の環境でマルウェアに遭遇しています
-
Androidの金融アプリの約3分の1、iOSの旅行アプリの5分の1が、SSLピニングにもかかわらず中間者攻撃に対して依然として脆弱です
「モバイルアプリはAPIを利用するだけでなく、APIを露出させている」とレポートは述べています。
「呼び出し元のアプリやデバイスの可視性がなければ、攻撃者はアプリコードを改変することでAPIの挙動をマッピング・操作し、リバースエンジニアリングによってシークレットやトークンを抽出し、デバイスレベルの制御を悪用して実際の利用をシミュレートできます。」
APIセキュリティリスクの詳細:99%の組織がAPI関連のセキュリティ問題を報告
境界防御だけでは不十分
ファイアウォールやAPIゲートウェイ、Webアプリケーションファイアウォールなどの従来のツールは、境界で特定の脅威をブロックできますが、通信が本物のアプリから発信されているのか、改ざんされたクローンからなのかを判別できません。この死角により、攻撃者はIDや位置情報、デバイス識別子を偽装し、悪意のあるAPIコールを正規のもののように見せかけることができます。
「セキュリティの観点から、モバイルデバイスには組織だけでなくユーザー自身のためにも基本的な保護が必要です」とCequence SecurityのCISO、Randolph Barr氏は述べています。
「最低限、画面ロックが有効になっていること、アップデートが適時適用されていること、デバイスがroot化や脱獄されていないことを確認する必要があります。」
ギャップを埋めるために
Zimperiumのレポートは、APIの保護はモバイルアプリ自体から始めるべきだと強調しています。重要な2つのアプローチが挙げられています:
-
APIの強化:難読化、安全なストレージ、ランタイム防御によってエンドポイント、トークン、ビジネスロジックを保護する
-
アプリ認証:すべてのAPIコールが信頼できる環境で動作する本物の改ざんされていないアプリから発信されていることを検証する
「現在、私たちは憂慮すべき現実に直面しています。多くの企業向けモバイルアプリが、コードの難読化、安全なストレージ、最新のサードパーティライブラリなど、基本的な保護を依然として欠いています」とBlack Duckのシニアソリューションマネージャー、Vishrut Iyengar氏は説明します。
「これらの脆弱性は、管理された企業環境でも依然として悪用可能です。」
VennのCEO、David Matalon氏もIyengar氏の意見に同意し、「従来の境界は消滅し、リモートワーカーのBYOD(私物端末利用)という現実が、デバイスの保護から業務自体の保護への戦略転換を求めています」と述べています。
翻訳元: https://www.infosecurity-magazine.com/news/android-apps-leak-sensitive-data/