Headline News!

19 December

グーグルアカウントIDを盗むアプリがGoogle Playで30種類以上確認される

Android端末利用者のグーグルアカウントIDを外部に送信するアプリが数多く出現しています。ダウンロード回数も合計数百万回以上を記録しているようです。

 PCやスマートフォンのセキュリティ製品を開発するマカフィーは、AndroidユーザーのグーグルアカウントIDを外部に送信するアプリがGoogle Play上に30種類以上存在すると公式ブログで注意を呼びかけています。

 パスワードは送信されませんがグーグルアカウントIDはそのままメールアドレスにもなりえるため、下記4点の情報漏えいリスクが潜んでいます。

  • アカウントIDが他の悪意ある人物と共有されたりメールアドレス収集業者に販売されたりする。
  • アカウントID(メールアドレス)宛にスパムや詐欺メールが送信される
  • ユーザーが弱いアカウントパスワードを設定していた場合、パスワードを見破られアカウントに不正アクセスされる。
  • アカウントIDを使用してユーザー登録を行ったSNS(例えば、Google+)やコミュニケーションサービス上での個人情報が特定される。

 下記2つのアプリがアカウントIDの漏えいに該当し、ダウンロード数はそれぞれ10,000~50,000回に及びます。同社セキュリティソフトMcAfee Mobile SecurityではこれらのアプリをAndroid/ChatLeaker.D として検出しています。

Android/ChatLeaker.DアカウントIDを収集

 また、別の30種以上のアプリではアカウントID以外にもIMEI(端末識別番号)、IMSI(加入者識別番号)を取得し、同じく外部へ密かに送信します。これらのアプリは複数の開発者名でGoogle Play上に公開されていますが、データの送信先が同一のWebサーバーなため、関連するグループによるものだと推測されています。

 これらアプリのダウンロード回数は少なくとも合計数百万回以上に上ると見られており、McAfee Mobile SecurityではAndroid/GaLeaker.Aおよびその亜種として検出しています。

Android/GaLeaker.AアカウントID、IMEI、IMSIを収集

 これらアプリが収集したアカウントIDを利用した不正行為は今のところ確認できておらず、何が目的で収集しているのかは不明です。しかし利用目的や収集する事実を明確にするべきだとマカフィーはまとめています。

グーグルアカウントIDが収集されるかどうかの確認方法

 Androidアプリはインストール時にユーザーの端末から何の情報が使われるかが事前に確認画面として表示されます。この中に「アカウント」という表記があれば収集される事になります。

アプリインストール時の表記

 しかしこの「アカウント」はプッシュデータ送信を使用する際のグーグルによって提供されている標準的な仕組みのため、悪意のある目的かどうかを判断することは難しいとしています。

※現在、画像で挙げてあるアプリのほとんどはGoogle Play上で削除されたか非公開になったようです。しかし再公開する可能性もあり、これら以外のアプリも新たに20種近く発見されています。
詳しくは関連リンクの公式ブログよりご確認ください。なお、本記事で使用されている画像はマカフィー株式会社様の当該記事より引用させていただきました。

関連リンク

マカフィー公式ブログ
不審な日本語AndroidアプリからのGoogleアカウントID漏洩に注意

パスワードは複雑に!

  • TOPへ戻る
  • Tweetボタン
  • いいねボタン
  • Google+ボタン
  • はてブボタン
  • POCKET