Googleの公式Androidアプリストア「Google Play」で配信されたアプリがマルウェアに悪用されている実態を受け、Googleが開発者向けのポリシーを改訂した。ユーザーがGoogle Playからダウンロードしたアプリのアップデートを、Google Play以外のサイトで提供することを禁じる条項が盛り込まれている。セキュリティ企業Kaspersky Labのニュースサービス「threatpost」などが伝えた。
Google Playをめぐっては、AppleのApp Storeと比べた審査の甘さが以前から指摘され、不正アプリがGoogle Playに混入したり、外部のWebサイトを通じて流通するケースが後を絶たなかった。
今回改訂されたポリシーには、「Google Playからダウンロードしたアプリは、Google Playの更新の仕組み以外の方法を使ってAPKバイナリコードの改訂や入れ替え、更新を行ってはならない」と明記された。
threatpostによれば、これまではGoogle PlayでダウンロードしたAndroidアプリでも、アップデートはGoogle Playの外でプッシュ配信することが可能だった。そのため攻撃側は、電子メールの添付ファイルなどを使ってAPKのアップデートを送信するといった手口で、ユーザーがインストール済みのAndroidアプリをアップデートさせ、マルウェアを流通させてきたという。
また、Google Playに最初に登録された時点では問題がなくても、ユーザーがインストールした後にアップデートの通知を表示して、この通知からマルウェアをインストールさせる手口なども報告されている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR