McAfeeは17日、GoogleアカウントID(Gmailアドレス)を密かに収集する、多数の不審な日本語アプリの存在をGoogle Play上で確認したと公表した。その後、18日にも新たな同種アプリが複数発見されるなど、引き続き注意が必要であると呼びかけている。
すでに数百万ダウンロードされた模様
問題のアプリは17日時点で30種以上発見されており、アプリ起動直後に端末のGoogleアカウントIDやIMEI、IMSIを取得し、ユーザーに知られることなく特定のWebサーバーへ送信する。
これらのアプリのカテゴリーは多岐にわたり、また複数の開発者名でGoogle Play上に公開されている。データ送信の実装コードや送信先が共通であることから、実際には同じ開発者または関連するグループによるものであると推測されている。
一部のアプリはかなり以前に公開された形跡もあり、さらに日本語以外の外国語にも対応していることも影響してか、ダウンロード回数は少なくとも計数百万回以上に上るという。
謎の目的でGoogleアカウントを収集
McAfeeによれば、これらのアプリがなぜGoogleアカウントIDを密かに収集しているのか、また用途や管理状況なども不明だとしている。さらに、GoogleアカウントIDを利用した不正行為も、現状では確認されていない。
だが、こうした情報を自動収集する事実と利用目的については、アプリ側が事前にユーザーに明示し、かつ拒否する機会をユーザーに与えるべきであると指摘している。
Androidアプリは、インストール時にGET_ACCOUNTS権限の許可を得てGoogleアカウントとそれに付随する情報を取得できるようになるが、この権限はアプリが端末へのプッシュ通知の機構(Google Cloud Messaging)を使うためにしばしば要求される。そのため、ユーザーにとっては何の用途で同権限が要求されているのかを見分けることは困難だという。
GET_ACCOUNTS権限が与えられても、Googleアカウントのパスワードが盗まれるわけではないが、IDはGmailアドレスでもあるため、漏洩だけでも以下のようなセキュリティおよびプライバシーに対するリスクとなる。
- アカウントIDが他の悪意ある人物と共有されたりメールアドレス収集業者に販売されたりする。
- アカウントID(メールアドレス)宛にスパムや詐欺メールが送信される。
- ユーザーが弱いアカウントパスワードを設定していた場合、パスワードを見破られアカウントに不正アクセスされる。
- アカウントIDを使用してユーザー登録を行ったSNS(例えば、Google+)やコミュニケーションサービス上での個人情報が特定される。
新たに15種、同様の動作をする不審アプリ
17日に報告された上記アプリのほとんどは、18日現在、Google Play上から削除されたか、一時的に非公開とされている模様。しかし、再び公開されたり、別のアプリとして新規公開されるおそれもあるとしている。
またMcAfeeのブログでは、同種のアプリが新たに計15個(うちGoogle Playで13個、関連サイト上で2個)発見されたことも報告しており、続々と出現するこれら不審アプリには、引き続き細心の注意が必要だろう。