Tweet

動画再生を装って個人情報を外部送信、ほかにも存在する可能性

個人情報を外部に送信する日本語のAndroidアプリに注意

2012/04/13

　動画再生アプリを装ってバックグラウンドで電話番号などの個人情報を収集し、外部のサーバに送信するAndroidアプリが存在するとして、セキュリティ専門家が注意を呼び掛けている。

　これらのアプリに対する疑念がTwitterで浮上したのは4月11日。「○○（人気アプリの名前）the Movie」という名称で、グーグルの公式アプリサイト「Google Play」で配布されていたアプリが、電話帳内のデータなどを読み取り、外部に送信していると指摘された。

　解析を行ったネットエージェント 代表取締役社長の杉浦隆幸氏によると、これらのアプリは、オリジナルのアプリを動作させた動画を再生しつつ、インストールされた端末の電話番号、Android_ID、名前、さらに電話帳に登録してある名前と電話番号、メールアドレスを収集し、外部のサーバに送信していた。アプリをインストールする際には、「READ_CONTACTS」などのパーミッションの利用を求めてくるという。

　こうしたアプリは確認されただけで16種類あった。Google Playに表示されていたアプリのダウンロード数は6万6600〜27万1500件。仮に、アプリをインストールした端末の連絡先に50件分の情報が保存されていたとすれば、数百万件から数千万件の個人情報が勝手に送付されていた可能性があるという。なお、送信先の「depot.bulks.jp」のサーバならびに配布元は、現在は閉鎖されている。

　これらのアプリの手口は典型的なソーシャルエンジニアリングで、正規のアプリであるかのように見せかけ、ユーザーをだましてインストールさせる。Android OSの脆弱性を悪用するものではなく、Android向けのウイルス対策ソフトでは検出できなかったという。

　このため、海賊版のように見える不審なアプリではないことを確認し、インストール時にアプリが求めてくるパーミッションに注意するなどして自衛するしかない。だが杉浦氏によると、今回検証した不審なアプリの中には、5段階評価で4という高い評価が付いているものもあった。また、AdMobなどの広告が組み込まれている場合、正規のアプリでも多くのパーミッションが要求されることもあり、見分けるのは難しい。「これ、という対策は残念ながら存在しない」（杉浦氏）。

　正規のアプリと見せかけて裏側で個人情報を収集するこの種のアプリは、ほかにも存在する可能性が高い。「特に、会社で業務として利用している場合は注意が必要」（杉浦氏）という。