Pages

Monday, September 26, 2022

にわかに注目を集めたアプリ内ブラウザーのセキュリティー問題、リスクを抑える方法は(前):CIO Magazine - Nikkei Business Publications

TOPセキュリティ > にわかに注目を集めたアプリ内ブラウザーのセキュリティー問題、...

セキュリティ

 モバイルデバイスのアプリの中でWebページへのリンクをクリックしたときに、SafariやChromeといったデフォルトのブラウザーではなく、アプリ本体に組み込まれたブラウザーでページが開くことがある。こうしたアプリ内ブラウザーを通じて、ユーザーのデータや行動をアプリ側に把握される恐れがあることが、最近注目を集めた。この問題は企業にとっても大きなリスクとなり得る。

Credit: Thinkstock

Credit: Thinkstock

 アプリ内ブラウザーの問題が注目を集めたきっかけは、研究者のFelix Krause氏が8月に公表した調査結果だった。米Meta Platforms傘下のFacebookやInstagram、中国ByteDanceのTikTokなどに関して、iOS版アプリの挙動を同氏が分析したところ、アプリ内ブラウザーで外部のWebページのソースに独自のJavaScriptコードを挿入する処理を行っていた。こうしたコードでは、例えばユーザーが入力したパスワードや住所などの情報を取得したり、画像やリンクのクリックなどの操作を把握したりといったことも不可能ではないため、データプライバシー上のリスクがある。

 両社はこうしたコード挿入について、不正な処理は一切行っていないと直ちに表明した。しかし、両社の過去の品行が懸念を招いているのに加え、他のアプリや攻撃者が同様の処理を悪用する可能性があることが不安の種となっている。特に法人環境では、企業ネットワークに接続して重要な情報を扱う業務用のデバイスでアプリ内ブラウザーを使用することもある。セキュリティーチームはこの問題がもたらす脅威とその対策について考えておく必要がある。

アプリ内ブラウザーの問題点

 DNSフィルタリングサービスを手がける米DNSFilterの主席セキュリティー研究者、Peter Lowe氏によると、独立したアプリとしてブラウザーが開く場合に比べて、アプリ内ブラウザーはアプリ側が処理や動作を制御できる度合いが大きいことから、Krause氏が指摘したようなコード挿入やデータ追跡の問題が起こり得る。

 「今回分かったように、TikTokやInstagramのような人気アプリも、コード挿入の手法を利用してユーザーを追跡しているように見受けられる。入力の一つひとつを監視したり、各ページにトラッキングコードを組み込んだりといった追跡も可能なレベルだ。こうした追跡を防ぐためのポリシーをアプリストアが導入している場合でも、この手法なら抜け穴になる」(Lowe氏)

Adblock test (Why?)


からの記事と詳細 ( にわかに注目を集めたアプリ内ブラウザーのセキュリティー問題、リスクを抑える方法は(前):CIO Magazine - Nikkei Business Publications )
https://ift.tt/LqDRfBa
科学&テクノロジー

No comments:

Post a Comment