マカフィーは17日、Android端末から無断でGoogleアカウントを取得する日本語アプリに注意を喚起した。Google Playにて公開されている複数のアプリが、共通の送信先(サーバ)に盗まれたデータを送信するという。
各ダウンロード数が10,000~50,000回にも上る、ある占いアプリと出会い系アプリは、起動直後に端末のGoogleアカウントIDを取得し、外部のWebサーバーへ送信する。
GoogleアカウントIDを収集する2つのアプリ(McAfee Blogより) |
このほか、30種以上のアプリで、起動直後に端末のGoogleアカウントID、IMEI(International Mobile Equipment Identifier、端末識別番号)、IMSI(International Mobile Subscriber Identity、加入者識別番号)を取得し、無断で特定のWebサーバーへ情報を送信することを確認したという。
上記のアプリは、カテゴリや開発者名は異なるが、データ送信の実装コードや送信先が共通であるなど、同じ開発者もしくは関連するグループによるものと同社は推測している。一部のアプリは長期間公開され外国語対応も行われており、ダウンロード回数が計数百万回以上に上るものもあるという。
Androidアプリは、インストール時に「GET_ACCOUNTS」(端末上のアカウントの検索) 権限が許可されると、GoogleアカウントIDや付随情報を取得できる。GET_ACCOUNTSは、プッシュ送信を使用可能にするGCM(Google Cloud Messaging)を使う場合でも要求されるため、ユーザーにはアプリからのGET_ACCOUNTSの要求が、GCMのためか、(悪意のある用途含め)本当にアカウントIDを取得したいのかの判断が難しい。
同社では、アプリがGET_ACCOUNTS権限を取得しても、Googleアカウントのパスワードは盗まれないが、Googleアカウント(ID)の漏洩だけでも「メールアドレス収集業者への販売」や「スパム・詐欺メールの送信」「弱いパスワードだった場合不正アクセスされる」など、セキュリティ上のリスクがあるとする。また、FacebookやTwitterなど、端末に登録される付随IDも取得できるため、同社はSNSの「メールアドレスによる検索を許可」オプションの設定を無効にするなどの対策や注意を促している。