複数の人気スマホアプリに資格情報窃取の恐れ、確認を

画像提供：マイナビニュース

Symantecは10月22日(米国時間)、「Exposing the Danger Within: Hardcoded Cloud Credentials in Popular Mobile Apps｜Symantec Enterprise Blogs」において、複数のモバイルアプリから潜在的な脅威を発見したと報じた。これらアプリはクラウドサービスの資格情報をハードコードしており、攻撃者がクラウドサービスに不正アクセスしてユーザー情報を窃取する可能性があるという。

○潜在的に脆弱なアプリ

Symantecにより発見された、資格情報をハードコードしているアプリおよびクラウドサービスの種類は次のとおり。

Pic Stitch - Amazon Web Services(AWS)
Crumbl - Amazon Web Services(AWS)
Eureka: Earn money for surveys - Amazon Web Services(AWS)
Videoshop - Video Editor - Amazon Web Services(AWS)
Meru Cabs- Local, Rental, Outs - Microsoft Azure Blob Storage
Sulekha Business-List & grow - Microsoft Azure Blob Storage
ReSound Tinnitus Relief - Microsoft Azure Blob Storage
Saludsa - Microsoft Azure Blob Storage
Chola Ms Break In - Microsoft Azure Blob Storage
EatSleepRIDE Motorcycle GPS - Twilio
Beltone Tinnitus Calmer - Microsoft Azure Blob Storage
Solitaire Clash: Win Real Cash - Amazon Web Services(AWS)
Zap Surveys - Earn Easy Money - Amazon Web Services(AWS)

○「資格情報のハードコード」とは

一部のアプリは利便性の向上、セキュリティの強化、改ざん防止のため、ユーザー情報やデータをデバイスではなくクラウドサービスに保管することがある。アプリがクラウドサービスに接続するには人間と同様に認証を行う必要があり、アプリは何らかの方法で認証情報を保持している。