ニュース
» 2013年12月17日 15時33分 UPDATE

不審な日本語Androidアプリ、GoogleアカウントのID漏えいに注意

スマートフォンに登録されたIDを利用する権限は、漏えいなどによって別の問題を引き起こすリスクも抱える。

[中島大輔,マカフィー]

(このコンテンツはマカフィー「McAfeeブログ」からの転載です。一部を変更しています。)

 GoogleアカウントID(アカウント名)――多くの場合、Gmailアドレス――は、Android端末ユーザーの重要な識別子の1つです。McAfeeは、このGoogleアカウントIDを密かに収集する多数の不審な日本語アプリの存在をGoogle Play上で確認しています。Googleアカウントのパスワードが盗まれるわけではありませんが、IDの漏えいだけでもセキュリティおよびプライバシーに対するリスクがあります。

 下の2つのアプリ――占いアプリと出会い系アプリ――は、アプリ起動直後に端末のGoogleアカウントIDを取得し、外部のWebサーバへ密かに送信します。アプリのダウンロード数はそれぞれ1〜5万回に上ります。McAfee Mobile Securityは、これら不審なアプリを「Android/ChatLeaker.D」として検出します。

mcf01.jpg GoogleアカウントIDを収集する2つのアプリ

 また別の30種以上のアプリは、アプリ起動直後に端末のGoogleアカウントID、IMEI、IMSIを取得し、ユーザーに知られることなく特定のWebサーバへ送信します。これらのアプリのカテゴリーは多岐にわたり、また複数の開発者名でGoogle Play上に公開されていますが、データ送信の実装コードや送信先が共通であることから、実際には同じ開発者か関連するグループによるものだと推測しています。一部のアプリはかなり以前に公開された形跡があり、また、日本語以外の外国語にも対応していることも影響してか、これらのアプリのダウンロード回数は少なくとも合計数百万回以上に上ります。McAfee Mobile Securityはこの種の不審なアプリを「Android/GaLeaker.A」およびその亜種として検出します。

mcf02.jpg GoogleアカウントID、IMEI、IMSIを収集する30種以上のアプリ

 これらのアプリがなぜGoogleアカウントIDを密かに収集しているのか、どのように使用しているのか、どのように安全に管理しているのかは不明です。また、私たちの検証時に収集されたGoogleアカウントIDを利用した不正行為も今のところ確認できていません。しかし、どのような使用方法にせよ、これらのアプリはこの情報の自動収集の事実と利用目的について事前にユーザーに明示し、かつそれを拒否する機会をユーザーに与えるべきです。

 Androidアプリは、インストール時に「GET_ACCOUNTS(この端末上のアカウントの検索)」権限の要求が許可されると、AccountManagerクラスのメソッドを使用してGoogleアカウント(およびその他のアカウント)のIDとそれに付随する情報を取得することができます。この権限は、アプリがGCM(Google Cloud Messaging)機構を使用する場合などにしばしば要求されます。GCMは、アプリがサーバーから端末へのプッシュデータ送信を使用できるようにするためにGoogleによって提供されている標準的な仕組みです。そのためユーザーは、アプリがGCMを使用するためにこの権限を要求しているのか、あるいは本当にアカウントIDを取得したいのか(悪意のある用途を含む)を見分けること、すなわち、この権限要求の許可が安全か否かを判断することが困難だといえます。

mcf03.jpg GET_ACCOUNTS権限の要求

 GET_ACCOUNTS権限が与えられてもアカウントのパスワードを取得することは不可能ですが、アカウントIDの漏えい自体にも幾つかのリスクが潜みます。

  • アカウントIDが他の悪意ある人物と共有されたりメールアドレス収集業者に販売されたりする
  • アカウントID(メールアドレス)あてにスパムや詐欺メールが送信される
  • ユーザーが弱いアカウントパスワードを設定していた場合、パスワードを見破られアカウントに不正アクセスされる
  • アカウントIDを使用してユーザー登録を行ったSNS(例えば、Google+)やコミュニケーションサービス上での個人情報が特定される

 特に、Android端末ユーザーは端末入手時に作成したGoogleアカウントID(Gmailアドレス)を使用して様々なサービスに登録し、またサービス側もそのメールアドレスによるユーザーの検索を可能とする初期設定を行う場合があるため、上の最後に挙げたリスクには注意する必要があります。例えば、ユーザーがあるSNS上で自身のプロファイルを公開しており、かつ、登録メールアドレスによる自身の検索を許可する設定(多くのサービスでは初期設定)が有効な場合、攻撃者にそのメールアドレスを知られると容易に自身のプロファイルが探し出されてしまう危険があります。

mcf04.jpg Gmailアドレスによるユーザー検索で名前が知られてしまう例

 もう一つ注意する点として、GET_ACCOUNTS権限の許可により、Androidアプリは端末上に登録されているGoogleアカウント以外の様々なアプリやサービスのアカウントID――例えば、Facebook、Twitter、LinkedIn、Tumblr、WhatsAppなどのID――も取得できることが挙げられます。もしこれらのアカウントIDが漏えいすると、ユーザーはそれらのIDに関しても上で述べたような同じ危険にさらされます。

mcf05.jpg Android端末に登録される様々なアカウントの例

 SNSや類似のサービスのユーザーは、「メールアドレスによる検索を許可」オプションの設定を再確認し、本当にそれを望む場合以外はその設定を無効にすることをお勧めします。また一般に、このようなアカウントIDを不特定多数の他者が閲覧可能な場所に公開することは、本当にそれが必要でない限り避けた方が良いでしょう。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ