複数のAndroidアプリにSSLサーバー証明書の検証不備を発見
米CERT/CCが指摘、複数のAndroidアプリで不備を確認
2014年9月19日、独立行政法人情報処理推進機構(IPA)セキュリティセンターは、Androidアプリ開発者を対象に、SSLサーバー証明書の検証処理の実装をするよう注意喚起を促した。
米国のCERT/CC (CERT Coordination Center)が複数のAndroidアプリにおいて、「SSL証明書を適切に検証しない脆弱性」を確認したとの発表を受けてのものとなる。
通信先から送信されたSSLサーバー証明書が適切かどうか検証されない場合、攻撃者にHTTPS通信の内容を盗聴または改ざんされる可能性が生まれる。CERT/CCは上記の脆弱性があるAndroidアプリ開発者への通知およびリストの公表を行っており、9月18日時点でリストに挙がっているのは617のアプリだ。
リストには複数の日本語名のアプリも含まれている。CERT/CCは調査を続行中で、リストアップされるアプリは今後も増加する見込みだ。
IPAでは「AnCoLe」を無償提供
IPAが無償で提供しているツール「AnCoLe」を使えば、ソースコードに「SSL証明書を適切に検証しない脆弱性」(SSL通信の実装不備)や点検を行うことができる。
機能の詳細やインストールについては外部リンクを参照のこと。