Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

個人情報を窃取するスマホアプリ、アフィリエイトを悪用 - 約8000件がダウンロード

占いアプリに見せかけ、端末内のアドレス帳など個人情報を外部へ送信する不正なAndroidアプリが出回った問題で、アプリの拡散に正規のアフィリエイトサービスが悪用されていたことがわかった。

問題のアプリは、「占いアプリ☆オーラの湖」。占いアプリに見せかけ、スマートフォンのアドレス帳データを取得。利用者にわからないよう外部へ送信する。

アプリ紹介サイトやブログ、ポイントサイトなどを通じて紹介され、ユーザーの目に触れる機会が多かったことから、情報処理推進機構(IPA)が5月23日に注意喚起を行っている。

多くのサイトで紹介された背景には、同アプリの開発者が、ダウンロード回数に比例して紹介者へ報酬を支払う「アフィリエイトサービス」を悪用していたことが挙げられる。

ファンコミュニケーションズの広報によれば、4月中旬から5月21日にかけて「Moba8.net」を通じてアフィリエイトプログラムを提供。すでに不正アプリであることを把握して配信を中止しているが、期間中同社と契約するポイントサイトなどを中心に、約8000件がダウンロードされた。

同社では、アプリのアフィリエイトプログラムを提供する場合、安全性のために審査を実施しており、基準を満たさないアプリに対してサービスを提供していないが、今回のアプリについては、内部の挙動まで確認できていなかった。

またサービスの申し込みが行われた当初、紹介するダウンロード先のリンクが公式サイトである「Google Play」だったことから安全性に問題ないと同社では判断。しかしアプリ提供者が、期間中にリンク先を外部サイトへ変更しており、審査をすり抜けていたという。

同社は、「掲載サイトやユーザーなど関係者に迷惑をかけて申し訳ない」とコメント。今回の件を受けて警察へ相談しているほか、プログラムへ参加した掲載メディアなど関係者に対して謝罪し、ダウンロードした利用者へのアナウンスを進めている。

さらに再発防止を目指し、アプリに対する一斉チェックを実施したほか、審査体制の強化などに取り組むと説明している。

(Security NEXT - 2012/05/31 ) このエントリーをはてなブックマークに追加

PR

関連記事

デジタルアーツ、iOS向けにフィルタリングアプリ - Safariなど全アプリに対応
カスペ、Android用セキュリティ対策製品 - アプリロック機能追加
「VMware AirWatch」のコンソールなどに脆弱性 - アップデートが公開
シマンテック、エンドポイントに「おとり機能」を追加 - 複数のEDRオプションも
マカフィー、子どものスマホ見守りサービスを年内開始
マカフィー、コンシューマー向けに新版をリリース - クラウドによる機械学習を活用
2017年3Qの脆弱性登録は3695件 - 制御システム関連は99件
ノートン新版が登場 - 「ドラえもん」のような存在目指す
【訂正あり】無線LANの「WPA2」で盗聴や改ざん可能となる「KRACK」 - 多数機器に影響
カスペ、コンシューマー向け製品に新版 - OS再起動時の感染を防止