モバイル決済アプリは金融取引に革命をもたらし、よりシームレスで便利になりました。専門家は、デジタルウォレットが大幅に成長し、2025年までにユーザー数が48億人を超え、2028年までに取引額が16兆ドルを超えると予測しています。しかし、これらのアプリの使用が増えるにつれて、セキュリティに対する懸念も高まっています。
サイバー脅威は増加しており、ユーザーデータとトランザクションを保護することがサービスプロバイダーにとっての最優先事項となっています。このブログでは、ノルウェーのアプリ セキュリティ会社 Promon が実施した分析について詳しく説明します。この分析では、世界で最も使用されている 73 の決済アプリのセキュリティと、一般的なマルウェア スタイルのスクリーン リーダー攻撃を阻止する能力を評価しました。
決済アプリのセキュリティ評価
上位の支払いアプリのセキュリティを判断するために、Promon は、主要な金融サービス アプリに対して使用されているものと同様のスクリーン リーダーを採用しました。彼らの目的は、これらのアプリが機密情報の取得を目的とした模擬攻撃に耐えられるかどうかを評価することでした。分析により、いくつかの懸念すべき結果が明らかになりました。
テストされた決済アプリの 77% には、スクリーン リーダーに対する十分な保護がありませんでした。この欠陥により、重大なセキュリティ上の懸念が生じます。
アプリの 8.2% では、シミュレートされたデータ引き出し攻撃中に、スクリーン リーダーがユーザー名を正常に記録しました。幸いなことに、これらのケースではパスワードは安全でしたが、部分的な脆弱性が浮き彫りになりました。
スクリーン リーダーによるユーザー データへのアクセスとログ記録に対する堅牢な防御メカニズムを実証し、ユーザー名とパスワードの両方の取得を効果的に阻止したアプリはわずか 4.1% でした。
驚くべきことに、アプリの 10.9% には従来のログイン ページがなく、スクリーン リーダーを介したデータ漏洩の試みを防ぐことができました。これはセキュリティ上の利点と見なされますが、ユーザーの利便性と機能性についての懸念も生じます。
セキュリティへの影響
Promon のセキュリティ研究責任者である Benjamin Adolphi は、この調査結果について深刻な懸念を表明しました。同氏は、パスワードやクレジットカード番号などの機密情報の盗難のリスクに加え、2FA コードの傍受や悪意のある攻撃者によるデバイス制御の可能性について強調しました。
アドルフィ氏は、多くのアプリ開発者が後回しでセキュリティを優先しているようで、ユーザーの機密情報を危険にさらしていると指摘した。
セキュリティの強化
開発者は、モバイル決済アプリのセキュリティを強化するためにいくつかの手順を実行できます。
App Shielding テクノロジーを実装すると、悪意のあるスクリーン リーダーに対するセキュリティが大幅に向上します。
開発者はアプリ内でアクティブなスクリーン リーダーを検出できますが、このアプローチにはいくつかの制限があります。警告メッセージは、アクセシビリティ機能を備えたマルウェアによって回避される可能性があり、スクリーン リーダーを無視するとユーザーが危険にさらされる可能性があります。さらに、アプリをシャットダウンするとアクセシビリティが妨げられ、法的問題につながる可能性があります。
Android 14 で約束されているような新しい OS 機能と、堅牢なアプリレベルの防御機能を組み合わせることが、包括的なユーザー保護にとって重要です。Android 14 は、アクセシビリティ サービスの悪用を防ぐことを目的としており、開発者が特定のビューとの対話を、TalkBack などの宣言されたアクセシビリティ ツールに制限できるようにします。
重要なポイント
-モバイル決済アプリは金融取引において重要な役割を果たしており、2028年までに48億のデジタルウォレットと取引が16兆ドルを超えると予測されています。
-エスカレートするサイバー脅威により、セキュリティが差し迫った懸念事項となっています。Promon が 73 の主要な決済アプリを調査した結果、その 77% がスクリーン リーダーに対して適切に保護されていないことが明らかになりました。
-開発者は、アプリのシールドやスクリーン リーダーの検出などの対策を実装することでセキュリティを強化する機会があります。セキュリティ強化のバランスをとることは、進化し続ける脅威の状況の中で機密性の高いユーザー データを保護する上で極めて重要です。
Follow Us on Facebook
