インストール時の権限許可など確認処理をほぼ省略した形で、Google Playから他アプリのダウンロードやインストールおよび起動を行う危険な国内ユーザー向けアプリがGoogle Play上で見つかったという。McAfeeが報告している。
インストールから起動まで一貫して実行
問題のアプリはアダルト動画の視聴アプリで、外部サーバにより指定された10個以上のアプリ一覧の中から最低5個のアプリをインストールすることと引き換えに動画が視聴できるというもの。
アフィリエイト報酬目的とみられており、今回はマルウェアなどは含まれていなかったものの、外部サーバ側での変更によってアプリ一覧を置き換えることで、悪意あるアプリを混入させる可能性も否定できないとしている。
具体的には、ユーザーがこのアプリで動画ダウンロードを試みると、端末上のGoogleアカウント情報について「SID」「LSID」という2つの権限をシステムダイアログ上で要求する。
これを許可すると、アプリはGoogle Playを含む各種のGoogleのサービスにアクセスできるようになる。
その後、アプリはその認可トークンを用いてGoogle PlayのWebサーバーと何度か非公式な方法でのHTTP通信を実行。Google Playから任意の無料アプリを直接ダウンロードおよびインストールするためのトークンを取得し、アプリの自動インストール処理を開始するという。
Androidユーザーは通常、アプリが要求する権限をインストール時に確認して許可するなど、いくつかの確認プロセスを踏んだうえでGoogle Playよりアプリをインストールするが、この自動インストールではそうした機会がユーザーに与えられず、インストールが完了するとすぐに起動まで行う。
McAfeeは、こうしたアプリ自動インストール処理が悪用されると恐ろしい結果を招くと指摘。
「端末でアカウントを検索」(GET_ACCOUNTS)と「端末上のアカウントを使用」(USE_CREDENTIALS)という権限要求を許可すれば、Googleアカウントに関わる大きな権限をアプリに与えることになると認識し、そのアプリが本当に信頼に値するものか慎重に再確認すべきだと警鐘を鳴らしている。