こんにちは、Android セキュリティ部 部長のMineです。

先日、4月19日にAndroid版Skypeに個人情報流出の脆弱性が発覚した。

Skype – Skype 日本語ブログ – Android版Skypeの情報流出の脆弱性について

ITmedia : Android向けSkypeに個人情報流出の脆弱性が発覚

この脆弱性はSkype for Androidが端末にユーザー名、住所、アカウント名、電話番号、連絡先などを暗号化せずに保存しており、他のアプリケーションからそれらの情報を抜き取ることができてしまうという物。

(なお、au向けのSkype auではこの脆弱性はなかったとのこと。)

検証用のアプリもすぐに開発され、一時はどうなるかと思ったのですが、翌日の4/20には修正版が公開されて、アップデートが促されました。

Skype – Skype 日本語ブログ – Skype for Androidにおける情報流出の脆弱性を修正

ITmedia : Skypeが個人情報流出の脆弱性に対処、Android版ユーザーに更新呼び掛け

このSkypeの迅速な対応には感心しましたし、Android セキュリティ部では「かっこいい」という感想も出ました。

Android向けSkypeに個人情報流出の脆弱性

この一連の流れを見て、私はApple App Store vs Google Android Marketで語られる「審査」の話を連想しました。

今回、Skypeが脆弱性発覚翌日に修正版をリリースしました。

当然、Skypeが一晩で脆弱性修正版を開発し、リリースできる状態までこぎつけたことは、素晴らしいことです。

しかし、もしこれがiPhone(iOS)だとこうは行きません。

App Storeでアップデートを提供するのにも審査が必要だからだ。

当然、審査には時間がかかるので、今回のように翌日リリースというわけにはいかない。そうなると、その間にクラッカーがその脆弱性を悪用したプログラムを書くことができ、それを公開されると多くの人に影響が出る。

中には、その悪意のあるプログラムはApp Storeの審査ではねられて、ユーザーに届くことはないのではないか？と考える人もいるかも知れない。

ですが、App Storeの審査ではアプリの内容や非公開APIの使用の有無などで、見た目のユーザーの為とAppleの利益の為の審査しか行わない。バイナリレベルでの精査を行っているわけではない。

となると、このような脆弱性を突くものはいくらでもごまかしが効くことになる。

対する、Android Market。審査が全くないため、脆弱性修正版も、アップデートすれば、Googleのサーバーが配布処理が終わった段階でダウンロード可能になるため、まさに「即時」公開となる。

今回のように特に緊急性が高い脆弱性が公になった場合、とてもセキュリティ的にうれしい話だ。

しかし、だからといって一辺倒にAppleの審査をセキュリティ的に非難するわけではない。

Appleも怪しい動作をするアプリをきっちりはじいていて、ユーザーに悪意のあるプログラムが届くのを防いでいる。

こういう点で言えば、Android Marketはどんなに危ないプログラムでも、審査がないためユーザーに簡単に届いてしまう。

アプリマーケットでの審査の有無の議論は今後も展開されていくことになりそうです。