LINEの「AIR GO」がGoogle Play StoreアプリTOP100で脆弱性を約半数で発見！

LINEが2019年下半期にセキュリティ・安全性診断ツール「AIR GO」を利用して実施したGoogle Play StoreアプリTOP100にて脆弱性診断を実施した結果が公表されました。

LINEの発表によると、「Google Play StoreアプリTOP100」に対して、脆弱性の診断を行う際に利用したのは、セキュリティ・安全性診断ツール「AIR GO」とのことです。

LINEでは、Google Playのセキュリティポリシーに違反する診断の結果、全体の約半数のアプリに対して脆弱性が発見されたとのことです。

セキュリティ・安全性診断ツールの「AIR GO」は、ツールウェブサイトやAndroidアプリ分析し、難読化の有無や脆弱性をはじめとしたセキュリティーリスクを検知、解決策を提案を行うツールとなっています。  

「AIR GO」では、脆弱性だけでなく、オープンソースライセンスやマルウェア検出などの面についても分析を行い、問題がある場合には、解決策を提案をしてくれます。

「AIR GO」では、特に判別が難しいとされている「Google Play Store」のリジェクト理由についても診断可能となっています。

LINEでは、「AIR GO」を利用して、2019年度下半期の「Google Play StoreアプリTOP100」の脆弱性診断を実施した結果、全体の約半数のアプリにてセキュリティーポリシーに違反する脆弱性が見つかったとの報告が上がっています。

2019年度下半期の「Google Play StoreアプリTOP100」の脆弱性診断結果で発見された脆弱性について確認しておきましょう。

「AIR GO」を利用した「Google Play StoreアプリTOP100」の脆弱性診断結果で、発見された脆弱性については、全体の約半数のアプリにてセキュリティ面の脆弱性の問題が発見されています。

発見された約半数のアプリにて多く見受けられたセキュリティ面の脆弱性の多くは、「TrustManager Verification」・「Insecure Hostname Verification」・「SSLErrorHanddler OnReceivedSSLError」の3種類となっています。

今回の診断結果にて発見された脆弱性は、クライアントがアプリの情報をアップデートする際のサーバーと通信を行う過程に潜んでいるケースが多いとみられています。

Googleでは2017年より「Google Play Security Reward Program（GPSRP）」を実施しています。

Googleが新しく導入した「DDPRP」は、AndroidアプリやOAuthプロジェクト、Chrome拡張機能のデータ不正使用の問題について特定を行い、軽減するための報奨金プログラムとなっています。

開始段階では、開発者側がオプトインした一部のアプリのみが対象となっていましたが、変更により「Google Play」にて1億以上ダウンロードされた人気アプリがすべて対象となっています。

Googleではこれまでに累計26万5000ドル以上の報奨金を支払い、2018年だけでも3万人以上の開発者が7万5000件以上のアプリを修正するのに役立ったとしています。

LINEでは、2月14日から3ヵ月限定にて、「1buy 1free キャンペーン」を実施するとしています。

このキャンペーンでは、2月14日から3ヵ月限定にて、「Amazon SaaS Store」にて「AIR Go」の一点決済することで、「AIR Go」の製品を1点追加して無料提供を行う内容となっています。