複数のAndroidアプリにSSLサーバー証明書の検証不備を発見

米CERT/CCが指摘、複数のAndroidアプリで不備を確認

2014年9月19日、独立行政法人情報処理推進機構(IPA)セキュリティセンターは、Androidアプリ開発者を対象に、SSLサーバー証明書の検証処理の実装をするよう注意喚起を促した。

米国のCERT/CC (CERT Coordination Center)が複数のAndroidアプリにおいて、「SSL証明書を適切に検証しない脆弱性」を確認したとの発表を受けてのものとなる。

通信先から送信されたSSLサーバー証明書が適切かどうか検証されない場合、攻撃者にHTTPS通信の内容を盗聴または改ざんされる可能性が生まれる。CERT/CCは上記の脆弱性があるAndroidアプリ開発者への通知およびリストの公表を行っており、9月18日時点でリストに挙がっているのは617のアプリだ。

リストには複数の日本語名のアプリも含まれている。CERT/CCは調査を続行中で、リストアップされるアプリは今後も増加する見込みだ。

IPAでは「AnCoLe」を無償提供

IPAが無償で提供しているツール「AnCoLe」を使えば、ソースコードに「SSL証明書を適切に検証しない脆弱性」(SSL通信の実装不備)や点検を行うことができる。

機能の詳細やインストールについては外部リンクを参照のこと。