Google PlayにアカウントIDを収集するアプリ - 目的不明、30種類以上
Android端末上に登録されたアカウントのIDを収集する日本語アプリが、「Google Play」で複数確認された。アカウントIDを収集する目的はわかっていないが、悪用される可能性もあるとして、マカフィーでは注意を呼びかけている。
同社が確認した不審アプリは、占いアプリとして公開されている「極占」と出会い系アプリ「bB」。起動するとAndroid端末に登録されているアカウントのIDを取得し、外部サーバへ送信する。12月17日時点でいずれもすでに1〜5万回のダウンロードが行われていた。
同社では、これら以外にもアカウントIDやIMEI、IMSIを外部へ送信するアプリを30種以上を確認。開発者名は異なるが、データ送信のために実装されているコードや送信先が共通で、同じ開発者か関連するグループが作成していると分析。ダウンロード回数は、あわせて数百万回にのぼるという。
収集されたIDの使用目的は不明。不正行為なども現時点では確認されていないという。しかしながら、GoogleのアカウントIDは、Gmailアドレスとして利用されており、業者に売却されたり、スパムや詐欺メールが送信される可能性がある。
またAndroid端末にはFacebookやTwitterをはじめ、SNSやクラウドサービスなど、Google以外のアカウント情報を登録している場合もあり、これらIDが取得されるおそれもある。推測されやすいパスワードを設定している場合は、アカウントに不正アクセスされるおそれもあるほか、SNSなどでは、ID情報をもとに個人情報が検索される可能性もある。
こうした情報へアクセスする権限の許可を求める場合、機能を実現するための正当な要求なのか、情報収集を目的とした要求なのか判断は難しい。同社は、パスワードが盗まれるわけではないものの、セキュリティやプライバシーに対するリスクがあるとして、インストール時に権限が要求された場合は、注意するよう呼びかけている。
(Security NEXT - 2013/12/17 )
ツイート
関連リンク
PR
関連記事
詐欺対策に特化したスマホアプリを提供 - トレンドマイクロ
「CODE BLUE 2024」の講演が決定 - 脅威関連から、AI、情報戦まで
8月は脆弱性19件を「悪用が確認された脆弱性カタログ」に追加 - 米当局
モバイルアプリ解析ツール「MobSF」に脆弱性 - アップデートで修正
「MS Edge」にアップデート - 悪用ある脆弱性に対応、独自修正も
「楽天市場アプリ」に脆弱性 - アップデートで修正
7月は脆弱性14件を「悪用が確認された脆弱性カタログ」に追加 - 米当局
米当局、「Android」や「Apache OFBiz」の脆弱性狙う攻撃に注意喚起
Androidに修正パッチ、脆弱性46件に対応 - 一部脆弱性で悪用も
2024年2Qの「JVN iPedia」登録は1463件 - NVDの公開遅延が影響