Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

個人情報を窃取するスマホアプリ、アフィリエイトを悪用 - 約8000件がダウンロード

占いアプリに見せかけ、端末内のアドレス帳など個人情報を外部へ送信する不正なAndroidアプリが出回った問題で、アプリの拡散に正規のアフィリエイトサービスが悪用されていたことがわかった。

問題のアプリは、「占いアプリ☆オーラの湖」。占いアプリに見せかけ、スマートフォンのアドレス帳データを取得。利用者にわからないよう外部へ送信する。

アプリ紹介サイトやブログ、ポイントサイトなどを通じて紹介され、ユーザーの目に触れる機会が多かったことから、情報処理推進機構(IPA)が5月23日に注意喚起を行っている。

多くのサイトで紹介された背景には、同アプリの開発者が、ダウンロード回数に比例して紹介者へ報酬を支払う「アフィリエイトサービス」を悪用していたことが挙げられる。

ファンコミュニケーションズの広報によれば、4月中旬から5月21日にかけて「Moba8.net」を通じてアフィリエイトプログラムを提供。すでに不正アプリであることを把握して配信を中止しているが、期間中同社と契約するポイントサイトなどを中心に、約8000件がダウンロードされた。

同社では、アプリのアフィリエイトプログラムを提供する場合、安全性のために審査を実施しており、基準を満たさないアプリに対してサービスを提供していないが、今回のアプリについては、内部の挙動まで確認できていなかった。

またサービスの申し込みが行われた当初、紹介するダウンロード先のリンクが公式サイトである「Google Play」だったことから安全性に問題ないと同社では判断。しかしアプリ提供者が、期間中にリンク先を外部サイトへ変更しており、審査をすり抜けていたという。

同社は、「掲載サイトやユーザーなど関係者に迷惑をかけて申し訳ない」とコメント。今回の件を受けて警察へ相談しているほか、プログラムへ参加した掲載メディアなど関係者に対して謝罪し、ダウンロードした利用者へのアナウンスを進めている。

さらに再発防止を目指し、アプリに対する一斉チェックを実施したほか、審査体制の強化などに取り組むと説明している。

(Security NEXT - 2012/05/31 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、ブラウザ「Edge」最新版を公開 - 独自5件含む24件の脆弱性を解消
最新Androidのプライバシー機能など解説 - JSSECオンラインセミナー
モバイルアプリ向けに不正検知SDKを提供 - セキュアブレイン
2Qの「JVN iPedia」登録は2735件 - 前期の1.6倍に
IIJmioの一部アプリで他ユーザー情報を誤表示
トレンドマイクロの「パスワードマネージャー」権限昇格の脆弱性
ワクチン予約受付を装うスミッシング、「不在通知」のグループ関与か
「Firefox 89」をリリース、9件の脆弱性を修正 - iOS版も更新
「Firefox 86」が公開、Cookie対策強化 - 脆弱性12件を修正
新型コロナのワクチン予約に見せかけた悪意あるSMSに注意