アプリ開発者はデータ保存を簡素化するためにサードパーティのサーバーに依存していますが、新たな調査によると、これらのサーバーでは機密データに対するセキュリティがほとんどまたは全く確保されていないことがしばしばあります。
Amazon、Google、Microsoftなどのサードパーティ製サーバーは、サーバーを自分でコーディングすることなく、ユーザーデータやシステムファイルを簡単に保存できる方法を提供しています。しかし、開発者はこれらのサーバーのセキュリティ対策を忘れがちで、ユーザーデータを誰でも見つけて盗むことができるような無防備な状態にしておくことがしばしばあると報告されています。
Zimperiumの新たな調査によると、これはプロバイダーを問わず、あらゆるアプリカテゴリーで発生しています。クラウドストレージを使用するiOSおよびAndroidアプリの14%は、セキュリティ保護されていない設定になっており、攻撃に対して脆弱であることが判明しました。
調査によると、これらのサーバーで利用可能なデータの種類は問題のアプリによって異なりますが、保存されているすべてのデータは悪意のある人物によって悪用される可能性があります。保護されていないデータには、各ユーザーの名前や住所から医療データや財務データまで、あらゆるものが含まれます。
Zimperiumは、脆弱性や無防備なデータを利用することで、より機密性の高いデータや業務プロセスへのアクセスが可能になると述べています。一部のアプリでは、決済キオスクのSSHキーやパスワードを含むクラウドインフラストラクチャのスクリプト全体が漏洩しました。
Wiredは、この報告書について研究者に話を聞いたところ、パブリッククラウドサービスを利用しているAndroidアプリが84,000個、iOSアプリが47,000個発見されたと報告した。これらのサービスを利用しているアプリのうち、14%がユーザーデータを漏洩していた。
「これは憂慮すべき傾向です」と、ZimperiumのCEO、シュリダール・ミッタル氏はWiredに語った。「こうしたアプリの多くは、開発者や設定者によって適切に設定されていないクラウドストレージを利用しており、そのため、ほぼ誰でもデータを閲覧できる状態になっています。そして、私たちのほとんどは今、こうしたアプリのいくつかを使っているのです。」
サーバー権限とセキュリティ上の問題のあるアプリカテゴリ。画像クレジット:Zimperium
問題は開発者がサーバーのセキュリティ対策を怠っていることにあるため、あらゆるカテゴリーのアプリが影響を受けています。調査で判明した最も影響を受けているカテゴリーは、ビジネス、ショッピング、ソーシャル、コミュニケーション、ツールです。
アプリユーザーはこの状況に直接影響を与えることはできませんが、使用するアプリとその評判に注意することはできます。人気アプリでデータ漏洩が発生した場合、通常は主要なニュースソースで報道されますが、すべての漏洩が公表されるわけではありません。
AppleはiCloudをはじめとする事業の一部にサードパーティ製のサーバーを使用しています。同社のシステムは過去にも攻撃を受け、侵入されたこともありますが、ユーザーデータの盗難には至っていません。同社はAWSとGoogle Cloudのインスタンスに、利用可能な最高のセキュリティ対策を導入しています。
開発者はこの問題を認識し、行動を起こす必要があります。適切なセキュリティがサーバーに導入され、データが保護されていれば、サードパーティ製サーバーの利用は問題ありません。Zimperiumは、今回の調査が開発者の行動を促し、データサービスのセキュリティ保護に役立てられることを期待しています。
![Mac App Storeの人気ユーティリティ「Adware Doctor」がユーザー情報を盗んでいる [u]](https://image.tslro.com/imggkole/fe/58/stephen_silver.webp)
