複数の人気スマホアプリに資格情報窃取の恐れ、確認を
マイナビニュース / 2024年10月24日 8時21分
「ハードコード」はプログラムのソースコードに設定値やデータを直接書き込むことを、さらに、「資格情報のハードコード」は資格情報をソースコードに平文で書き込むことを意味する。ハードコードされた情報は実行プログラムにそのまま保持されるため、多少の知識があれば誰でも簡単に取り出せる。つまり、資格情報をハードコードしたアプリは、資格情報を暗黙的に公開していると評価することができる。
クラウドサービスの資格情報が漏洩した場合、攻撃者はクラウドサービスに不正アクセスしてデータの窃取、改ざん、削除が可能となる。影響はアプリの動作不良だけではなく、ユーザーの個人情報流出など深刻な被害をもたらす可能性がある。
○対策
上記の脆弱なアプリは少なくとも10万回以上のダウンロード実績(Google Play)、またはレビュー件数(Appleストア)がある。それだけ多くのユーザーが利用していると考えられ、深刻な脅威となっている。
上記のアプリのように、資格情報を保持するアプリの開発者には、機密情報保持のベストプラクティスに従って実装することが推奨されている。具体的には環境変数の使用、機密情報管理ツールの使用、安全性の実証された暗号化などが推奨されている。
なお、この脆弱性に関して、ユーザーに推奨される回避策はない。アプリ開発者に修正を要望し、アップデートを待つ必要がある。
(後藤大地)
-
- 1
- 2
外部リンク
この記事に関連するニュース
-
デル・テクノロジーズ、AIのイノベーションを加速させ、Microsoftユーザー向けのサイバー セキュリティー戦略を強化
PR TIMES / 2024年11月21日 14時40分
-
DXとセキュリティをともに推進するポイント 第1回 企業に競争力とセキュリティのリスクをもたらすDXを再考する
マイナビニュース / 2024年11月18日 15時19分
-
日立社員が、AWS認定資格をすべて保有するAmbassadorをグローバルで表彰する「AWS Ambassador - Certification All-Star Award 2024」を受賞
PR TIMES / 2024年11月15日 13時45分
-
SOHOルータから行われるパスワードスプレー攻撃に注意、中国の影
マイナビニュース / 2024年11月5日 9時14分
-
認証アプライアンスAXIOLE、Shibboleth IdP ver5対応の新バージョンv1.24を発表
PR TIMES / 2024年10月29日 17時15分
ランキング
-
1「やはり……」 MVP受賞の大谷翔平、会見中の“仕草”に心配の声も 「真美子さんの視線」「動かしてない」
ねとらぼ / 2024年11月22日 17時40分
-
2『シャニマス』に武藤遊戯?混乱の声 ショップ「武闘遊戯」見間違い続出でトレンド入り「脳がバグった」
ORICON NEWS / 2024年11月22日 18時32分
-
3旅先での1枚が「Windows10すぎる」と300万表示! 分かる人には分かる“完全一致”に「共感しまくりです!」「マジじゃん」
ねとらぼ / 2024年11月22日 20時30分
-
4自分のスマホが犯罪インフラに? 知らぬ間にSMS大量送信、日本サイバー犯罪センターが警鐘
おたくま経済新聞 / 2024年11月22日 15時0分
-
5イオシス、“あのスマホ”大量入荷 「待ってたぜェ、この瞬間をよォ!!」
ASCII.jp / 2024年11月22日 15時5分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください