少し前、データを暗号化して送受信するSSL/TLSの脆弱性「FREAK」が明らかになり、各種ブラウザやiOSなどは修正アップデートによる対策を行いましたが、iOSアプリやAndroidアプリの一部は、依然としてこの脆弱性がそのままの状態にあるようです。
セキュリティ調査会社のFireEye Incが、App Storeで人気があるアプリをカテゴリ別に調査したところ、iOSアプリ14,079種類中 5.5%にあたる771種類が、FREAK対策を行っていないhttpsサーバーに接続していることがわかりました。(3/10付けのデータ)
FREAKの修正が行われたiOS 8.2より前のバージョンのiOSでこれらの未対策アプリを利用した場合、パスワードやカード情報、フォームに入力した機密データなどが漏洩する恐れがあります。
このグラフは、(ゲームとスポーツを除く)各種アプリのカテゴリ別のFREAK未対策アプリを表示したものです。
赤色の部分は3/10までに修正されたもので、青色の部分は3/10の時点で未対策のものを表します。バーの長さはアプリのダウンロード数を表しています。
このグラフによると、「写真・ビデオ」「ライフスタイル」「SNS」の3カテゴリのアプリが、FREAK未対策のままダウンロード数が多いことになります。ただ、写真やビデオなどのアプリでは実害を被るような情報のやりとりはあまりないのでそれほど心配ではありません。
このグラフで最も驚くべきは、「ファイナンス」カテゴリです。
実に9割近くが未だにFREAK対策を行っていません。
同じくお金を扱う「ショッピング」カテゴリのアプリが半数近く対策済みなのを考えると、恐ろしく対策が遅れていることがわかります。
- Source FREAK Out on Mobile
- Via Ars Technica
