モバイルアプリケーションはサンドボックス内で実行されます。 サンドボックスはオペレーティングシステム(OS)によって提供され、各アプリケーションを分離して、コードとデータを好奇の目から安全に保護することを目的としています。
しかし、もしサンドボックスが思ったほど安全でないとしたらどうなるでしょうか? あなたの会社のアプリのセキュリティに対する考え方は変わりますか?
セキュリティに対する誤った認識
Verimatrixは、金融、メディア&エンターテインメント、およびヘルスケアを含むいくつかの最も厳しい業界にセキュリティソリューションを提供しています。 この独自の視点から、Verimatrixは、今後のセキュリティ監視サービスのために、広範囲のモバイルアプリからセキュリティデータを収集することができました。
過去6か月*に収集された7,500万件の固有のセキュリティイベントのレビューと分析に基づくと、アプリ開発者はアプリのセキュリティをオペレーティングシステムのサンドボックスに単純に依存することはできないことが明らかになりました。 サンドボックスに過度の信頼を置くと、サンドボックス内で実行されているアプリが過度のリスクにさらされる可能性があります。
旧式のオペレーティングシステム
セキュリティ研究者たちは、AndroidやiOSの脆弱性を定期的に発見しています。 GoogleとAppleは、これらの脆弱性に迅速に対処し、オペレーティングシステムを更新するという素晴らしい仕事をしています。これは、「パッチ」としてよく知られるプロセスであり、サンドボックスをさらに強化します。
実際のところ、最新のスマートフォンオペレーティングシステムの複雑さを考えると、発見された脆弱性の数は驚くほど少ないです。 AppleとGoogleの開発者とセキュリティチームには、それに対する多くの功績があります。
パッチを有効にするには、エンドユーザーのデバイスにインストールする必要があります。パッチとアップデートはますます自動インストールされるようになってきましたが、データはまだデバイスの18.7%が古いバージョンのOSを実行していることを示しています。つまりこれらは既知の脆弱性**で実行されていることを意味しています。
Apple社がオペレーティングシステムの新バージョンを積極的に展開していることに精通している人にとって、Androidデバイスが古いOSバージョンを実行している可能性が3倍であることは驚くべきことではありません。
これらの割合は、大陸間ではほとんど変動がなく、ほぼ同じです; しかし、アフリカでは、古いOSバージョンの古い携帯電話の普及率がわずかに高くなっています。
ルート化されたデバイス
電話を「ルート化」することは、アプリケーションおよび/あるいはユーザーに特権を増やし与える行為です。 事実上、これは、オペレーティングシステムがアプリケーションの周囲に配置するサンドボックスを削除することを意味します。
攻撃者は、アプリの実行方法をよりよく理解する手段(「動的分析」として知られています)、あるいは実行中のアプリの動作を変更する手段(たとえば、ゲームの不正)としてルート化を使用します。
ルート化は、必ずしも悪意のある目的で実行されるわけではありません; 多くのユーザーは、単にデバイスのコントロールを強化するために、電話をルート化しています(たとえば、オペレーティングシステムのルックアンドフィールを変更するために)。ユーザーが電話をルート化すると、マルウェアが正規のアプリを攻撃するリスクが高まります。
Verimatrixのデータは 、全世界で、1000台のAndroidデバイスのうち36台がルート化されていることを示しています。
iOSでは「ジェイルブレイク」という言葉が使われています; しかし、効果は同じルート化です。 最新のiPhoneでもジェイルブレイクすることは可能ですが、この現象はAndroidデバイスをルート化するよりも人気がありません。
世界中でルート化の普及率には、大きな差があります。 ヨーロッパではAndroidデバイス1000台あたり10.7台と低いのに対して、南米では1000台あたり83.7台です。
火の世界
データセットには、かなりの数の Amazon Fire デバイスが含まれていました(上記の図からは除外されています)。
Amazon の Fire OS は Android をベースにしています。
興味深いことに、Amazon Fireデバイスのルート化は事実上存在せず、ルート化されたデバイスは1000台に1台未満です。 しかし、すべてが良いニュースというわけではありません。Fireデバイスの62%が、2014年にリリースされたAndroid5ベースのオペレーティングシステムを実行しています。
自己防衛アプリ
Verimatrixでは、リバースエンジニアリングに備えて、アプリケーションを「安全な」サンドボックスから取り出して、電話からアプリケーションを持ち上げるのがいかに簡単であるかを十分に認識しています。 熟練したセキュリティの専門家でさえ、無料で入手できるツールを使用してアプリを数分で抽出およびリバースエンジニアリングする様子を見せると、しばしば驚かれます。
そのため、私たちはアプリ強化ツールを使用してリバースエンジニアリングからアプリを保護する必要性を長い間提唱してきました。
*2020 年 3 月 5 日から 2020 年 9 月 24 日まで
**iOSの古いバージョンとは、2019年9月24日より前にリリースされたOSバージョンを意味します。 Androidの場合は、Android 8よりも前のバージョンを実行していることを意味します。
