Androidアプリの更新はGoogle Play経由で、Googleが義務付け

改訂後のポリシーでは、ユーザーがGoogle Playからダウンロードしたアプリのアップデートを、Google Play以外のWebサイトで提供することが禁じられた。

[鈴木聖子，ITmedia]

　Googleの公式Androidアプリストア「Google Play」で配信されたアプリがマルウェアに悪用されている実態を受け、Googleが開発者向けのポリシーを改訂した。ユーザーがGoogle Playからダウンロードしたアプリのアップデートを、Google Play以外のサイトで提供することを禁じる条項が盛り込まれている。セキュリティ企業Kaspersky Labのニュースサービス「threatpost」などが伝えた。

　Google Playをめぐっては、AppleのApp Storeと比べた審査の甘さが以前から指摘され、不正アプリがGoogle Playに混入したり、外部のWebサイトを通じて流通するケースが後を絶たなかった。

　今回改訂されたポリシーには、「Google Playからダウンロードしたアプリは、Google Playの更新の仕組み以外の方法を使ってAPKバイナリコードの改訂や入れ替え、更新を行ってはならない」と明記された。

　threatpostによれば、これまではGoogle PlayでダウンロードしたAndroidアプリでも、アップデートはGoogle Playの外でプッシュ配信することが可能だった。そのため攻撃側は、電子メールの添付ファイルなどを使ってAPKのアップデートを送信するといった手口で、ユーザーがインストール済みのAndroidアプリをアップデートさせ、マルウェアを流通させてきたという。

　また、Google Playに最初に登録された時点では問題がなくても、ユーザーがインストールした後にアップデートの通知を表示して、この通知からマルウェアをインストールさせる手口なども報告されている。