Google Play内に重要なセキュリティ問題が潜んでいることが、米コロンビア大学の研究レポート『A Measurement Study of Google Play』より明かされました。

画像引用：Columbia Engineering

米コロンビア大学の研究者らは、1日あたり110万個以上のGoogle Playストア内にあるアプリを解析するクローラー「PlayDrone」を開発。PlayDroneは、複数のハッキング技術を活用することで、Googleのセキュリティを回避しながらGoogle Playストア内のコンテンツをクロールし、さらにはストア内の無料アプリ88万個以上を逆コンパイルすることが出来ます。

研究では、、多くのデベロッパーがシークレットトークンをAndroidアプリ内に埋め込んでいることが分かったそうで、モバイルアプリを逆コンパイルすることでAmazon Web Services （AWS）及びFacebookを含む様々のOAuth※プロバイダで使用されている数千ものシークレットトークンが簡単に入手できるそうです。※様々な環境のアプリケーションにセキュアなAPI認可 (authorization) の手段を提供するオープンプロトコル。

トークンがきっかけで情報が漏れる

サードパーティアプリケーションは多くの場合、ユーザーデータのアクセス権の取得に、FacebookやTwitterなどのOAuthに対応したサービスを利用します。OAuthとは、ユーザーに代わってアクションを実行するための認証用のプロトコルとして使われ、サードパーティアプリケーションにはユーザーを識別するアクセストークンが与えられます。

OAuthが正しく実装された場合には、OAuth認証プロトコルはトークンを明かすことはなく、これらトークンは、サードパーティアプリケーションのサーバーに安全に保管されてます。しかし、多くのデベロッパーは、直接モバイルアプリにOAuthトークンを埋め込むという失敗から、アプリのソースコードを逆コンパイルされるとトークンが簡単に漏洩します。悪質なユーザーにシークレットトークンが渡った場合は、DoS攻撃、ユーザーの個人情報を盗み出したり、ユーザーのアクセストークンを騙し取るフィッシング攻撃まで行えます。

Google Play内の無料アプリを調査した結果、IDトークンやシークレット認証トークンを含むOAuth情報がFacebookから1,477件、Twitterから28,235件検出されました。また、AWSの事例では、308件のAWSトークンが2013年6月の調査で検出されています。アプリに埋め込まれたトークンの中には、Amazon EC2を含む他のAWSサービスにアクセスできるルートに相当するトークンもあったそうです。

米コロンビア大学情報工学のJason Nieh 教授は、Google Playチームが「トップデベロッパー」と指定する開発者のアプリにも、これら脆弱性が含まれているとしています。

Google Playをより安全な環境へ

Google Playチームは、Google Play内のセキュリティ問題、また悪質なユーザーからの攻撃を防ぐためにも、既にGoogle、Amazon、Facebookや他のサービスプロバイダと協力し、Google Playストア内を安全な場所にするよう取り組んでいます。Googleは、これらの問題がAndroidアプリに潜んでいるかをスキャンするため、PlayDroneの技術を採用していると述べています。

PlayDroneの技術は他にも、Google Play内で複製したコンテンツやパクリアプリを見分けることが出来ます。例えばGoogle Play内でソースコードやアプリデザインが複製されているアプリの数は25%を占めているのです。

PlayDroneは、AndroidアプリやGoogle Play上のコンテンツの品質を向上するためのツールとして、今後も大活躍していくことでしょう。

▽参考リンク：
Columbia University – A Measure Study of Google Play
Cnet