★阿修羅♪ > IT11 > 859.html
 ★阿修羅♪  
▲コメTop ▼コメBtm 次へ 前へ
謎の目的でGoogleアカウントIDを密かに外部送信するAndroidアプリ、38種確認
http://www.asyura2.com/09/it11/msg/859.html
投稿者 てんさい(い) 日時 2013 年 12 月 18 日 08:47:38: KqrEdYmDwf7cM
 

(回答先: FBI、監視用マルウェアで被疑者を監視していた(スラッシュドット)米国と縁が無ければ遠隔操作ウィルスでの捜査オッケー 投稿者 tk 日時 2013 年 12 月 12 日 12:27:48)

https://twitter.com/tokaiama/status/413078812293754880
http://headlines.yahoo.co.jp/hl?a=20131217-00000121-impress-sci

Impress Watch 12月17日(火)20時0分配信
謎の目的でGoogleアカウントIDを密かに外部送信するAndroidアプリ、38種確認

写真:Impress Watch

 Android端末のGoogleアカウントIDを密かに外部送信する日本語アプリが、Google Play上に多数存在していることを、マカフィー株式会社が同社公式ブログで明らかにした。パスワードが収集されるわけではないが、多くのAndroidユーザーの場合、GoogleアカウントIDはGmailアドレスとなっており、アカウントIDだけでもセキュリティリスクやプライバシーリスクがあるとして注意を呼び掛けている。

【この記事を写真付きで見る】

 占い系と出会い系の2つのアプリにおいて、アプリ起動直後にGoogleアカウントIDを密かにウェブサーバーに送信しているという。これらのアプリのダウンロード数はそれぞれ1万〜5万回に上るとしている。

 これとは別に、さまざまなカテゴリーにわたる36種類のアプリでは、アプリ起動直後、GoogleアカウントIDに加えて、端末識別番号のIMEIと加入者識別番号のIMSIも密かにウェブサーバーに送信するという。一部のアプリはかなり前に公開された形跡があるほか、外国語にも対応していることもあり、これらの合計ダウンロード数は少なくとも数百万回に上るとしている。なお、これらは複数の開発者名で公開されているアプリだが、データ送信の実装コードや送信先が同じであることから、同一の開発者か関連グループによるものと、マカフィーではみている。

 マカフィーによると、「これらのアプリがなぜGoogleアカウントIDを密かに収集しているのか、どのように使用しているのか、どのように安全に管理しているのかは不明」。収集されたアカウントIDを利用した不正行為も今のところ確認していないというが、「どのような使用方法にせよ、これらのアプリはこの情報の自動収集の事実と利用目的について事前にユーザーに明示し、かつそれを拒否する機会をユーザーに与えるべき」と指摘している。

 Androidアプリは、インストール時に「この端末上のアカウントの検索」(GET_ACCOUNTS)権限の許可を得てアカウントID情報を収集できるようになるが、この権限は、プッシュ通知のための標準的な機構「Google Cloud Messaging:GCM」をアプリが使うためにしばしば要求されるという。そのため、ユーザーにとっては、アプリがGCMを使うためにGET_ACCOUNTS権限を要求しているのか、悪意ある用途を含め、本当にアカウントIDを取得したいために要求しているのか見分けるのは困難だという。

 なお、GET_ACCOUNTS権限が許可されても、前述のようにパスワードを取得することはできないが、アカウントIDの漏えいだけでも以下のようなリスクがあると、マカフィーでは説明。また、一般的に、このようなアカウントIDを不特定多数が閲覧可能な場所に公開することも、本当に必要な場合でない限り避けた方がいいとアドバイスしている。

アカウントIDが他の悪意ある人物と共有されたり、メールアドレス収集業者に販売されたりする。
アカウントID(メールアドレス)宛にスパムや詐欺メールが送信される。
ユーザーが弱いパスワードを設定していた場合、パスワードを見破られ、アカウントに不正アクセスされる。
アカウントIDを使用してユーザー登録を行ったSNS(例えば、Google+)やコミュニケーションサービス上での個人情報が特定される。


【INTERNET Watch,永沢 茂】
 

  拍手はせず、拍手一覧を見る

フォローアップ:

この記事を読んだ人はこんな記事も読んでいます(表示まで20秒程度時間がかかります。)
★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
  削除対象コメントを見つけたら「管理人に報告する?」をクリックお願いします。24時間程度で確認し違反が確認できたものは全て削除します。 最新投稿・コメント全文リスト

▲上へ      ★阿修羅♪ > IT11掲示板 次へ  前へ

★阿修羅♪ http://www.asyura2.com/ since 1995
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。
 
▲上へ       
★阿修羅♪  
この板投稿一覧