不正アプリの配信実験で8000台のiPhoneとAndroid携帯にダウンロード

[ITmedia]

　一見すると無害な天気予報のiPhoneとAndroid携帯向けの不正アプリで、ユーザーをどれくらいだませるか――。セキュリティ研究者がそんな実験を行い、約8000人のユーザー情報を集めることができてしまったと、セキュリティカンファレンスで発表した。

　英Sophosの研究者が報道を引用して伝えたところでは、この実験はセキュリティ企業TippingPointの研究者が行い、このほど米サンフランシスコで開かれたRSAカンファレンスで発表した。

　実験に使ったスマートフォン向けの「WeatherFist」というアプリは、GPS情報や電話番号などを登録させた後、天気情報を表示する仕組みにしてあった。配布にはiPhoneやAndroidの公式アプリストアではなく、非公認ソフトを実行できるようにした「脱獄」（jailbroken）端末向けのアプリを提供しているCydia、SlideME、Modmyiといったサードパーティーのサービスを利用した。

　この方法で約8000台のスマートフォンにWeatherFistをインストールさせ、ボットネットのネットワークに組み込むことができてしまったという。

　研究チームはさらに、情報を盗み出すなどトロイの木馬的な機能を持たせたアプリ「WeatherFistBadMonkey」も開発したとされる。こちらは一般向けの配布はしなかったが、アプリにマルウェアのような動作を持たせられることを実証する狙いがあったと説明しているという。

　脱獄版のiPhoneを容易にマルウェアに感染させることができてしまう問題は、2009年11月にiPhoneワームが出現した時点から指摘されていた。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら