マカフィー株式会社は12月17日、Android端末からGoogleアカウントIDを収集する不審な日本語アプリを確認したことを同社のブログで発表した。
不審とされるアプリはGoogle Playで30個以上公開されており、GoogleアカウントIDのほかIMEI(端末識別番号)などを共通のサーバーへ送信していることが確認されている。
多くのAndroidユーザーはアカウントIDがGmailアドレスであることから、SNSサービスなどで「メールアドレスによる検索を許可」の設定を再確認するなど注意を呼びかけている。
(画像はMcAfee Blogより)
マカフィーによると、上記の占いアプリと出会い系アプリは、アプリ起動後にGoogleアカウントIDを取得し、外部のWebサーバーへ送信している。
アプリのダウンロード数はそれぞれ10,000〜50,000回で、McAfee Mobile Securityではこれらのアプリを「Android/ChatLeaker.D」として検出している。
(画像はMcAfee Blogより)
また、上記の30種以上のアプリは、GoogleアカウントIDに加え、IMEI(端末識別番号)、IMSI(国際移動体加入者識別番号)を取得し、特定のWebサーバーへ送信している。これらのアプリのカテゴリーは多岐にわたり、開発者名も異なるが、データ送信の実装コードや送信先が共通であることが確認されている。
日本語以外の外国語にも対応していることもあり、アプリのダウンロード数は少なくとも合計数百万回以上に上る。McAfee Mobile Securityはこれらのアプリを「Android/GaLeaker.A およびその亜種」として検出している。
(画像はMcAfee Blogより)
Androidアプリのインストール時にアカウント権限の要求が許可されると、アプリ側はGoogleアカウントIDとそれに付随する情報を取得することができる。
アカウント権限でパスワードを取得することは不可能だが、特にAndroidユーザーは端末入手時に作成したGoogleアカウントID(Gmailアドレス)を使用して様々なサービスに登録していることが多いことから、メールアドレス収集業者に販売されたり、アカウントIDでユーザー登録を行ったSNSから個人情報が特定されるなど、アカウントIDの漏洩そのものにもリスクがあるとしている。
(画像はMcAfee Blogより)
さらに、アカウント権限の許可により、端末上に登録されているFacebookやTwitter、Tumblrなど、Googleアカウント以外のアプリやサービスのアカウントIDも取得することができ、SNSサービス等でも同様のリスクが潜んでいるとしている。
そのためマカフィーは、SNSサービス等で「メールアドレスによる検索を許可」オプションの設定を再確認し、本当にそれを望む場合以外は設定を無効にすることを推奨している。
・不審な日本語AndroidアプリからのGoogleアカウントID漏洩に注意|マカフィー株式会社 | McAfee Blog