セキュリティ企業のマカフィーは、電話番号を盗み出す2つの不審な日本語チャットアプリをGoogle Play上で確認したことを、4日付の公式ブログで明らかにした。Google Playでは禁止されている不正な方法でアプリの評価を上げ、ともに1万~5万回もダウンロードされているという。
同社がGoogle Play上で確認した不審なアプリの名称は「CHATLINE」および「CONNECT LINE」で、人気アプリ「LINE」を連想させるが、実際には何の関係もない。この2つのアプリはコードの共通性から同じ開発者であるとみられ、アプリ開発者はアダルト出会い系サイトを運営していることがわかっている。不審アプリが収集した情報が、出会い系サービスの勧誘等に使われている可能性がある。
■起動しただけで外部に情報送信
これら不審アプリは、ユーザーが単にアプリを起動しただけで、端末ユーザーの電話番号、IMEI(国際移動体装置識別番号)、SIMシリアル番号といった情報を取得し、外部のWebサーバーに送信する。また、チャットサービスを使うためにユーザープロファイルを作成すると、画面上で入力したニックネーム、性別、居住地域、生年月日、自己紹介等の情報が、端末情報とともに同じサーバーに送信される。実際のチャット内でより詳細な個人情報や趣味・嗜好などの属性情報を送信すると、それらのメッセージが電話番号と関連付けられてアプリ開発者に保存される可能性もあるという。
■密かに行われる情報収集や評価吊り上げ工作
これらの不審アプリは、インストール時にREAD_PHONE_STATEその他の権限を要求する。しかし、情報を外部に送信することは、ユーザーに通知も承諾確認もしない。Google Play上のアプリ説明ページ、アプリ起動時の画面、またアプリ実行後に初めてアクセス可能な利用規約ページ等でも触れていない。個人情報の収集は、ユーザーに知られることなく密かに行われているのだ。 また、Google Playが厳禁している評価スコアの不正操作も行われている。アプリが提供するチャットサービスは登録無料だが、実際のチャットにはポイント購入が要。初回登録時に付与されるボーナスポイントを消費したところで、「高評価を行えばボーナスポイント付与」とすることで、アプリの評価スコアを上げているという。
■Androidユーザーが守りたい注意事項
ブログ執筆者の中島大輔氏は、Android端末ユーザーはアプリのインストール前に、外部送信される可能性がある個人情報について確認するよう勧める。次の場面で提示される内容に注意したい。 ・アプリのダウンロードやインストール時に表示されるパーミッション要求画面 ・Google Play上のアプリ説明ページの内容 ・アプリの利用規約やプライバシーポリシー
もし、個人情報が開発者に渡される可能性がある場合は、開発者が信頼に値するかどうか確認する必要がある。とくに、チャットやSNSなどのコミュニケーション関連アプリは、使用実績の少ないアプリは避けるよう、同氏は勧めている。
(2013/12/05 ネットセキュリティニュース)
【関連URL:マカフィー】 ・電話番号を収集する別の不審な日本語チャットアプリをGoogle Play上で確認、出会い系業者が関与か(2013/12/04) http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1382 ・電話番号を狙う不審なAndroidアプリ、韓国ユーザー向けもGoogle Play上に多数発見(2013/11/29) http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1380 ・日本のユーザーを狙った、電話番号を密かに盗むAndroidチャットアプリをGoogle Playで発見(2013/11/22) http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1378