近年、モバイルアプリケーションの市場では、プラットフォーム固有のプログラム言語の代わりに HTML5 や JavaScript を使って開発するハイブリッドアプリケーションと呼ばれるアプリが増えてます。ハイブリッドアプリの開発には標準化された Web の技術を用いるため、アプリのクロスプラットフォーム化や開発コストの削減を実現できる一方で、フレームワークがもたらす潜在的な脆弱性や、Web の開発言語に起因する脆弱性がアプリに混入するリスクが生じます。
調査ではハイブリッドアプリフレームワークの中で最も広く利用されている Cordova を取り上げ、Cordova を利用した Android と iOS のハイブリッドアプリの一般的な構成を模式化し、アプリの構成要素ごとにどのような脆弱性が作り込まれうるかを調査しました。
この調査報告書は、経済産業省委託事業「平成 26 年度サイバーセキュリティ経済基盤構築事業(サイバー攻撃等国際連携対応調整事業)」における「脆弱性関連情報等の流通及び製品開発者における対策活動の支援」の一部として行われた調査の結果をまとめたものです。
なお、調査の一部はソニーデジタルネットワークアプリケーションズ株式会社に委託して実施しました。
本文書の引用は自由に行っていただけます。引用に際しては、引用元名、資料名、URLを明示していただけますようお願いします。
引用元: JPCERTコーディネーションセンター 「Apache Cordova」を使ったハイブリッドアプリケーションの脆弱性に関する調査報告書 https://github.com/JPCERTCC/cordova
本調査の論文「ハイブリッドアプリケーションの脆弱性に関する分析」は、FIT2015 第14回情報科学技術フォーラムにおいて査読付き論文に採択されました。
RL-003 ハイブリッドアプリケーションの脆弱性に関する分析 ○西村宗晃(ソニーデジタルネットワークアプリケーションズ)・熊谷裕志(JPCERT/CC)・奥山謙(ソニーデジタルネットワークアプリケーションズ)・戸田洋三・久保正樹(JPCERT/CC) http://www.ipsj.or.jp/event/fit/fit2015/FIT2015_web_program/data/html/abstract/RL-003.html
全ての章を統合した HTML ファイル (all.html) は、 asciidoctor を使い、次のコマンドで生成しています。
% asciidoctor -b html5 -d book -a toc2 -n all.adoc
Thanks @azu_re, nishimunea, yujitounai and almiraj for contributing content and fixes to this project!