複数の人気スマホアプリに資格情報窃取の恐れ、確認を
マイナビニュース / 2024年10月24日 8時21分
「ハードコード」はプログラムのソースコードに設定値やデータを直接書き込むことを、さらに、「資格情報のハードコード」は資格情報をソースコードに平文で書き込むことを意味する。ハードコードされた情報は実行プログラムにそのまま保持されるため、多少の知識があれば誰でも簡単に取り出せる。つまり、資格情報をハードコードしたアプリは、資格情報を暗黙的に公開していると評価することができる。
クラウドサービスの資格情報が漏洩した場合、攻撃者はクラウドサービスに不正アクセスしてデータの窃取、改ざん、削除が可能となる。影響はアプリの動作不良だけではなく、ユーザーの個人情報流出など深刻な被害をもたらす可能性がある。
○対策
上記の脆弱なアプリは少なくとも10万回以上のダウンロード実績(Google Play)、またはレビュー件数(Appleストア)がある。それだけ多くのユーザーが利用していると考えられ、深刻な脅威となっている。
上記のアプリのように、資格情報を保持するアプリの開発者には、機密情報保持のベストプラクティスに従って実装することが推奨されている。具体的には環境変数の使用、機密情報管理ツールの使用、安全性の実証された暗号化などが推奨されている。
なお、この脆弱性に関して、ユーザーに推奨される回避策はない。アプリ開発者に修正を要望し、アップデートを待つ必要がある。
(後藤大地)
-
- 1
- 2
外部リンク
この記事に関連するニュース
-
Amazon Web Services, Inc. 主催「AWS re:Invent 2024」に2年連続で出展
Digital PR Platform / 2024年11月13日 13時0分
-
SOHOルータから行われるパスワードスプレー攻撃に注意、中国の影
マイナビニュース / 2024年11月5日 9時14分
-
認証アプライアンスAXIOLE、Shibboleth IdP ver5対応の新バージョンv1.24を発表
PR TIMES / 2024年10月29日 17時15分
-
サイバーセキュリティクラウドの『CloudFastener』、Azure環境に対応した「CloudFastener Azure版」を新たに提供開始
Digital PR Platform / 2024年10月25日 11時0分
-
ネットワールド、米ディープインスティンクトとディストリビューター契約
週刊BCN+ / 2024年10月15日 15時27分
ランキング
-
1あの日、勇者たちがゲーム店に押し寄せた!HD-2D版『ドラクエ3』発売を前に、ビックカメラが“懐かしの大行列写真”で店内を装飾
インサイド / 2024年11月13日 18時15分
-
2「情報操作されてる」「ぜーんぶ嘘!!」 今井絵理子の元夫、前妻ら巡る週刊誌報道を一蹴 “子ども捨てた”の指摘に「皆さん騙されてます」
ねとらぼ / 2024年11月13日 16時30分
-
3楽天モバイルは「今後もワンプラン」 三木谷氏「他社は料金プラン多いが、うちはシンプル」
ITmedia Mobile / 2024年11月13日 17時59分
-
4iPhone SE 4は2025年3月発売!? LGが12月にカメラモジュール量産開始説
ASCII.jp / 2024年11月13日 18時40分
-
5「吹き出したw」 粘土で“モビルスーツ”を再現したら…… まさかの“シュールすぎる絵面”にネット爆笑 「謎の男子中学生感」
ねとらぼ / 2024年11月13日 22時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください