マカフィーは11月22日、同社ブログにおいて、日本のユーザーを狙った電話番号を密かに盗むチャットアプリをAndroid向けアプリマーケット「Google Play」で発見したと発表した。
|
Google Playに2つの不審なチャットアプリが公開されているという |
同ブログによると、問題のチャットアプリは電話番号詐取機能の実装にJavaScriptを用いたものだという。登録不要かつ無料で使用できることを強調し、ユーザー情報を取得しないかのような説明をしていながら、実際にはユーザーがチャットサービスに接続する際に端末の電話番号を取得。ユーザーへの事前通知・承諾確認なしで密かに開発者が管理するWebサーバーへ送信しているという。電話番号は送信前に暗号化される仕様だが、「暗号化に使用した共通の秘密鍵をアプリ開発者が保持しているため、受信したサーバー側で復号化できることは明らか」(同ブログ)だという。加えて、同アプリで利用できるはずのチャットサービスについても「少なくとも私の目の前では一度もチャット接続に成功したことがなく、本当に機能するのか不明」とのこと。
|
アプリ説明ページでは「登録不要」をアピールしていながら、実際は電話番号を取得し、開発者が管理するWebサーバーへ送信 |
|
チャット画面でユーザーが「接続」しようとすると電話番号が勝手に送信される仕様になっているという |
このほか同ブログでは、このチャットアプリについて、アプリ開発者が収集した電話番号リストを実際に悪用しているかはわからないとしつつも、「電話番号のようなユーザーの機密情報を事前承諾なしに勝手に収集することは大きな問題」と指摘している。
さらに、今回のチャットアプリでは電話番号詐取機能の実装にJavaScriptが用いられており、電話番号を取得しなくてもチャットサービスが動作する仕様になっているという。それにもかかわらず「わざわざユーザーの電話番号を密かに取得しているということからも、何らかの悪意を感じる」としている。詳細は同ブログで確認できる。
(記事提供:AndroWire編集部)
