GoogleアカウントIDを盗む日本語Androidアプリに注意 –

Googleアカウントを盗むアプリが多数存在する恐怖

マカフィーは17日、Android端末から無断でGoogleアカウントを取得する日本語アプリに注意を喚起している。
その個人情報収集アプリはなんと、各ダウンロード数が10,000～50,000回にも上る。
推定被害者は100000人にも及びそう。
Google Playにて公開されている複数のアプリが、共通の送信先(サーバ)に盗まれたデータを送信するという。
つまりは、個人情報を収集しているアプリが出回っているということです。
特に占いアプリ系は要注意！ある占いアプリと出会い系アプリは、起動直後に端末のGoogleアカウントIDを取得し、外部のWebサーバーへ送信しています。

上記のアプリは、カテゴリや開発者名は異なるが、データ送信の実装コードや送信先が共通であるなど、同じ開発者もしくは関連するグループによるものと同社は推測している。一部のアプリは長期間公開され外国語対応も行われており、ダウンロード回数が計数百万回以上に上るものもあるという。

Androidアプリは、インストール時に「GET_ACCOUNTS」(端末上のアカウントの検索) 権限が許可されると、GoogleアカウントIDや付随情報を取得できる。GET_ACCOUNTSは、プッシュ送信を使用可能にするGCM(Google Cloud Messaging)を使う場合でも要求されるため、ユーザーにはアプリからのGET_ACCOUNTSの要求が、GCMのためか、(悪意のある用途含め)本当にアカウントIDを取得したいのかの判断が難しい。

同社では、アプリがGET_ACCOUNTS権限を取得しても、Googleアカウントのパスワードは盗まれないが、Googleアカウント(ID)の漏洩だけでも「メールアドレス収集業者への販売」や「スパム・詐欺メールの送信」「弱いパスワードだった場合不正アクセスされる」など、セキュリティ上のリスクがあるとする。また、FacebookやTwitterなど、端末に登録される付随IDも取得できるため、同社はSNSの「メールアドレスによる検索を許可」オプションの設定を無効にするなどの対策や注意を促している。

では、どのような危険があるのか、ねこきっくでも検証してみます。

GoogleアカウントIDを盗まれる危険

• 迷惑メールがGメールに届く危険性
• 勝手に不正利用される危険性
• また最近はSNSとの連動をしているユーザーが多いのでSNSへの不正利用

など、考えられるのは、暗証キーが数字4桁だと簡単にセキュリティは破られるだろうし、
メールや購入した記憶がないものの購入。
また、上限は決められているものの、Google playでの課金なども不正に利用されてしまう可能性もありえる。

そう考えてしまうと、無料の裏に隠れた危険性に対してもう少し意識を高めていく必要性があるだろう。

また、収集したところで、すぐに不正利用するのではすぐに足がついてしまうので
多岐に分かれた収集業者への転売などで、機会を見ての試作利用。
そこで、もしもリアクション(不正に気づく)ことがなければ大量一斉利用となる可能性も考えられる。
ということで、改めて注意していきたいね。

あと、これは別件ですが、私は先日、LineをＰＣにダウンロードしようとしたのですが、
公式のLineのページではどこからダウンロードかよくわからず
「line pcでダウンロード」みたいな検索ワードで調べて上位に上がったサイトを訪問しました。
作りが荒かったので(ヘッダー部分の画像とかフォントが)
おかしいなと思いながらもダウンロードボタンを押したら・・・・
なんと、「hao123」をダウンロードし出すじゃないですか。
広告バナーが消えなくなったり、ホーム画面がhao123になるという状況で
更にアンインストールしようにも匠に隠されているという念の入り用。
公式アプリの偽物サイトにも要注意ですね。

writer:かみじょー