Androidのスマートフォンで、電話帳に登録された個人情報を勝手に外部に送信するアプリが問題となっていたが、先週中にこれらのアプリは全てストアから削除され、情報送信先も閉鎖された。流出した個人情報は数百万件と推計されている。アプリはグーグルの公式ストアで無料提供されていたもの。ユーザーにはどんな自衛が可能なのか?
セキュリティベンダーのシマンテックは、Android端末から個人情報を流出させるアプリを29種確認し、インストールの経緯や動作について次のように報告している。
■「Google Play」でのインストール総数は7万件
グーグルの公式ストア「Google Play」で、同社が最初にこれらのアプリを確認したのは2月10日頃。その頃はアダルト向けや連絡先管理、レシピ、ダイエットサポートなどのアプリで、ダウンロード件数は多くはなかった。3月後半になると、人気があるアプリ名の最後に「the Movie」が付くものが大量にリリースされ、ユーザーの注目を集めて多数インストールされるようになった。インストール総数は少なくとも7万件で、モバイルユーザーが登録している連絡先の平均数を考えると、何百万件もの情報が流出した可能性がある。
■情報流出の流れ
これらのアプリはンストール時に、3つの許可を要求してくる。「ネットワーク通信」「個人情報」「電話/通話」で、それぞれ理由として、「完全なインターネットアクセス」「連絡先データの読み取り」「携帯のステータスとIDの読み取り」などと説明しているが、個人情報や端末IDなど、ビデオ再生にまったく必要ない情報が要求されていることに注目したい。
これらに許可を与えてインストールし起動すると、外部サーバーに接続され、ビデオ再生のための MP4 ファイルがダウンロードされる。そのバックグラウンドでは、当該端末の電話番号、登録されている個人情報(名前、電話番号、メールアドレスなど)を同じサーバーに送信する。これらの情報をアプリが送信できてしまうのは、インストール時に求められるまま許可を与えたためであることを思い出したい。
マカフィーの公式ブログによると、ダウンロード中は「読み込み中」という通知を画面に表示し、バックグラウンドでは個人情報の収集とその外部送信を行う。情報の取得に成功すると、サーバーからビデオをダウンロードして表示するが、情報取得に失敗した場合は「エラーが発生しました」と表示し、ビデオは再生されないという。
個人情報収集の目的は、スパムメール送信や、直接電話をかけて詐欺を仕掛けるなど次の行動のために行っていると推測されている。シマンテックはアプリ29種のリストを提示し(下記URL参照)、もしインストールされている場合には削除するようアドバイスしている。
■被害を防ぐ手段は?
これまで、アプリの安全に関しては「信頼できるストア以外からはインストールしない」という忠告が一般的だったが、今回のアプリは公式アプリストアで無料配布されていたものだ。シマンテックの報告によれば、最初の確認は2月10日、遅くとも3月後半にはこれらの不審アプリが掲載されており、今月13日に削除されるまで半月以上も危険な状態が継続していたことになる。
ユーザーは公式ストアであることだけで安心せず、アプリが信頼できるものかどうか見極める必要がある。前述のように、インストール前にアプリが求めてくる「許可」に注意しよう。トレンドマイクロは、アプリをインストールする前には必ず「そのアプリがどのような権限を得ようとしているのか」をチェックすることをあげている。本来は必要がないと思われる情報を要求してくるアプリに関しては、決して実行しないようにしたい。
(2012/04/18 ネットセキュリティニュース)
【関連URL】
・日本の Android ユーザーから個人情報を盗み出す "The Movie" マルウェア(シマンテック)
http://www.symantec.com/connect/ja/blogs/android-movie
・Android Malware Promises Video While Stealing Contacts[英文](McAfee Labs)
http://blogs.mcafee.com/mcafee-labs/android-malware-promises-video-while-stealing-contacts
・Android OSのユーザを狙った偽アプリとは?(トレンドマイクロ)
http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=Fake+Apps+Affect+Android+OS+Users