Androidアプリ、更新時に権限を不正に追加される危険性 Google Playのパーミッション表示の変更で

2014-06-23 20:42
記事タイトルとURLをコピーする

アクセス許可表示を変更

先日、GoogleがPlayストアにおけるAndroidアプリのアクセス許可表示を変更したことに対し、ユーザーの可視性と使いやすさが大幅に悪化したとトレンドマイクロが指摘している。

アプリの「自動更新」に注意が必要

この表示の変更は、従来のPlayストアではアプリの[インストール]ボタンを押した時に権限の一覧が表示されていたが、これを権限グループと権限の概要だけ表示するよう簡略化したというもの。

アクセス許可表示を変更

だが変更はこれにとどまらず、アプリのアップデート(更新)時にも及んでいる。

これまでGoogle Playでアプリを更新する際、ユーザーは要求される権限を確認し、明確に許可を与えるステップを踏んでいた。これが今回の変更により、アプリの自動更新が有効になっている場合、必要とする権限がユーザーがすでにアクセス権を与えたグループと同じであれば、明確な許可ステップが必要なくなった。

つまり、ユーザーは権限の変更に気づかないうちに裏で更新される可能性があり、最初は無害な権限を持つアプリを作成し、後から不正な挙動に必要な権限を追加するといった手法で、攻撃者に悪用される危険があるという。

たとえば、フラッシュライトと録音・録画を使用する権限は同じグループに入っているため、単なるフラッシュライトのアプリを録音・録画やストーカー行為をするような不正アプリに簡単にアップグレードさせることもできるというわけだ。

Googleは、今回の表示変更において特定の機能ごとに権限グループを作成したため、読み取りと書き込みの権限は同グループになる傾向があり、読み取りの権限をアプリに許可すると変更の権限も許可したことになってしまうという。

アクセス許可表示を変更

ユーザーが自身で権限を確認し、手動でアプリを更新するためには、アプリの「自動更新」を無効にすることが必要。

自動更新の無効化は、Google Playアプリのスライドメニューの[設定]から[アプリの自動更新]と進み、[アプリを自動更新しない]を選択することで設定できる。