IPAにアンドロイドアプリの脆弱性報告をした話
昨日(2016/5/30)日、IPAより「DMM.com証券製の複数の Android アプリにおける SSL サーバ証明書の検証不備の脆弱性」が公開されました。
今回この脆弱性は、リスクファインダー株式会社から報告させて頂きましたので、この件につきまして経緯や脆弱性報告手順について記載したいと思います。
SSLサーバ証明書の検証不備の脆弱性は、前から定期的に報告されていますが、なかなか減りません。アンドロイドアプリの脆弱性検査ツールを販売していていつも思うのは、自分の会社のソフトは大丈夫と思い込んでいる人が多い事です。
特に銀行や証券会社等は、お金を取り扱う会社ですので、セキュリティホールが見つかると顧客の資産に影響を与えます。
今回はDMM.com証券での脆弱性でしたが、過去には
- 百五銀行 http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-000065.html
- 東京スター銀行 http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-000049.html
- 楽天カード http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000120.html
- スマホ通帳 http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000015.html
まだまだありますが、スマホによるプライバシー情報の流出どころの話ではありません、ログインIDとパスワードが流出すると金銭を取られてしまうような業界のアプリで脆弱性が見つかっております。
既に上記のような事例が出ていますし、IPAから「プレス発表 【注意喚起】HTTPSで通信するAndroidアプリの開発者はSSLサーバー証明書の検証処理の実装を」といった形で注意喚起まで出ているので、てっきりこれらの金銭を取り扱う業界は、きちんとセキュリティ会社によるチェックをしており、まれに、このような脆弱性が出てくると思っていましたが、今年の5月頃に偶然上記リストにはない銀行のアプリのSSLサーバ証明書検知不備の脆弱性を見つけました。(報告修正済)同じ会社の別のアプリを調べるとこれもSSLサーバ証明書検知不備の脆弱性…。
SSLサーバー証明書不備の脆弱性は、検知するのが非常に簡単で、セキュリティ会社にチェックを依頼すれば必ず見つけ出させる種類の物です。まったくセキュリティチェックをしてないと思われます。