「Google Play」の一部公開アプリが固有ID情報を取得 - Palo Altoが指摘
「Google Play」において、ユーザーや端末固有のID情報を取得する複数Androidアプリが確認された。Baidu製のアプリも含まれ、推定利用者数は約11億人にのぼるという。
Palo Alto Networksの「Unit 42」のリサーチャーがGoogleが提供する公式ストア「Google Play」で公開されていたアプリについて分析したところ、利用者や端末の追跡につながるおそれがある識別情報を不正に取得するアプリを複数発見、報告したもの。
同社によると、Baiduが提供する「Baidu Android Push SDK」において、利用を避けるよう開発者ガイドで求められている固有の識別子などを取得していることが判明したという。
同ソフトは、「Baidu Search Box」や「Baidu Maps」などが利用する「ソフトウェア開発キット(SDK)」で、これらアプリは米国で600万回以上ダウンロードされており、グローバルで推定11億人のユーザーがいるという。
「IMSI(加入者識別ID)」「IMEI(端末識別ID)」など固有のIDは、利用者側で変更が難しく、紐付けられてユーザーのプロファイルが作成されたり、プライバシー侵害やデータの傍受などに悪用が可能であるとして問題点を指摘した。
(Security NEXT - 2020/11/30 )
ツイート
関連リンク
PR
関連記事
GitLab、クリティカルパッチを公開 - 脆弱性17件に対応
ビデオ会議の「Zoom」、9月の定例アドバイザリは1件のみ
ビデオ会議の「Zoom」にアドバイザリ - 誤公開の可能性も
「Cisco IOS XR」など複数Cisco製品に脆弱性
Ivanti、3製品に関するセキュリティアドバイザリを公開
更新3件を含むセキュリティアドバイザリ19件を公開 - SAP
Palo Alto、アドバイザリ7件を公開 - 「PAN-OS」などの脆弱性に対処
SAP、8月のセキュリティパッチを公開 - 深刻な脆弱性も
ALSIの複数製品にCSRF脆弱性 - OEM製品にも影響
複数Adobe製品にアドバイザリ - いずれも「クリティカル」脆弱性含む