マカフィーは17日、GoogleアカウントIDをひそかに収集する多数の不審なアプリが存在しているとして、同社の公式ブログ上で注意を呼びかけた。パスワードではなく、Googleアカウントの流出でもいくつかのリスクがあるとしている。

同社ブログによると、アプリ起動直後に端末のGoogleアカウントIDを取得し、外部のウェブサーバーに送信する2つのAndroidアプリが存在すると指摘。ひとつは占いアプリで、もうひとつは出会い系アプリ。ダウンロード数は各10,000から50,000に上るという。

密かにGoogleアカウントIDを盗む2つのアプリ

別の30種以上のアプリでは、アプリ起動直後に端末のGoogleアカウントID、IMEI、IMSIを取得し、ユーザーに知られることなく、特定のウェブサーバーに送信しており、アプリのジャンルや開発社名が異なるが、データ送信の実装コードや送信先が共通していた。このため、実際には同じ開発者か関連グループによるものだと推測している。アプリのダウンロード回数は合計で数百万以上に上るとみている。

GoogleアカウントID、IMEI、IMSIを収集する30種以上のアプリ

同社ではこれらのアプリで収集したGoogleアカウントIDを利用した不正行為は今のところ確認できていないが、リスク自体は以下のようなことが考えられるとしている。

  • アカウントIDが他の悪意ある人物と共有されたりメールアドレス収集業者に販売されたりする

  • アカウントID(メールアドレス)宛にスパムや詐欺メールが送信される

  • ユーザーが弱いアカウントパスワードを設定していた場合、パスワードを見破られアカウントに不正アクセスされる

  • アカウントIDを使用してユーザー登録を行ったSNS(例えば、Google+)やコミュニケーションサービス上での個人情報が特定される

上記のようなことから、同社では、情報の自動収集の事実と利用目的については事前にユーザーに明示し、それを拒否する機会をユーザーに当たるべきだと主張している。

なお、上記のリスクはMcAfee Mobile Securityで検出可能。

(記事提供: AndroWire編集部)