モバイルアプリケーションの相当数が、安全でないAPIを通じて機密情報を露出させており、ユーザーや企業を攻撃に対して脆弱な状態にしています。
本日公開されたMobile Apps: The New API Battleground レポート(報告書)によると、Androidアプリの3分の1、iOSアプリの半数超が、悪用可能なデータを漏えいしていることが明らかになりました。
また、全アプリのほぼ半数には、APIキーなどのハードコードされたシークレットが依然として含まれており、アプリが公開されると攻撃者がリバースエンジニアリングして悪用できてしまいます。
拡大する攻撃対象領域としてのモバイルアプリ
同レポートは、クライアント側の弱点が新たな悪用経路を生み出していると指摘しました。攻撃者はアプリを改ざんし、通信を傍受し、侵害された端末を悪用して防御を回避できます。
その他の主な調査結果は次のとおりです。
-
Android端末の400台に1台がroot化されており、iOS端末の2500台に1台が脱獄(jailbreak)されています
-
モバイル端末1000台あたり3台はすでに侵害されています
-
Android端末の5台に1台が、野良環境でマルウェアに遭遇しています
-
SSLピンニングがあるにもかかわらず、Androidの金融アプリの約3分の1、iOSの旅行アプリの5分の1が中間者攻撃に対して脆弱なままです
レポートは「モバイルアプリはAPIを消費するだけでなく、露出させてもいる」と述べています。
「呼び出しを行うアプリと端末を可視化できなければ、攻撃者は[…]アプリのコードを改変してAPIの挙動をマッピングし操作し[…]アプリをリバースエンジニアリングしてシークレットやトークンを抽出し[…]端末レベルの制御を悪用して実際の利用をシミュレートできる」としています。
APIセキュリティリスクの詳細はこちら:組織の99%がAPI関連のセキュリティ問題を報告
境界防御だけでは不十分
ファイアウォール、APIゲートウェイ、Webアプリケーションファイアウォールといった従来型のツールは、境界で特定の脅威を遮断できますが、トラフィックが正規のアプリから来ているのか、改ざんされたクローンから来ているのかを判別できません。 この盲点により、攻撃者はID、位置情報、端末識別子を偽装し、悪意あるAPI呼び出しを正当なものに見せかけることができます。
Cequence SecurityのCISOであるRandolph Barr氏は、「セキュリティの観点から、組織のためだけでなく、ユーザー自身のためにも、モバイル端末に基本的な保護が備わっていることを確実にする必要がある」と述べました。
「最低限、画面ロックが有効になっていること、更新が適時に適用されていること、そして端末がroot化または脱獄されていないことを確保するということです。」
ギャップを埋める
Zimperiumのレポートは、APIの保護はモバイルアプリ自体の内部から始めなければならないと強調しました。また、次の2つの不可欠なアプローチを示しました。
-
APIの強化:難読化、安全なストレージ、実行時防御により、エンドポイント、トークン、ビジネスロジックを保護する
-
アプリのアテステーション:すべてのAPI呼び出しが、信頼できる環境で動作する真正で改ざんされていないアプリからのものであることを検証する
Black Duckのシニア・ソリューションズ・マネージャーであるVishrut Iyengar氏は、「今日、懸念すべき現実に直面しています。多くの企業向けモバイルアプリはいまだに、コード難読化、安全なストレージ、更新されたサードパーティライブラリといった基本的な保護を欠いています」と説明しました。
「これらの弱点は、管理された企業環境であっても悪用可能なままです。」
VennのCEOであるDavid Matalon氏もIyengar氏の見解に同調し、次のように述べました。「従来の境界は消え去り、リモートワーカーにおけるBYOD(私物端末利用)の現実は、戦略の転換を求めています。端末を守ることから、仕事そのものを守ることへ。」
翻訳元: https://www.infosecurity-magazine.com/news/android-apps-leak-sensitive-data/
