パスワードを忘れた? アカウント作成
2647773 story
Android

Google Playのマルウェア、数百万人分の個人情報を収集か 58

ストーリー by hylom
あなたのスマホに這い寄るトロイ 部門より
あるAnonymous Coward 曰く、

NHK等の報道によると、Androidアプリの公式マーケット「Google Play」に3月半ば頃から人気アプリ/コンテンツの名称を冠したマルウェアが出回っており、数十万人から数百万人の大量の個人情報が収集された可能性があるという(NHKの記事産経新聞の記事impressの記事ITmediaの記事)。

問題となったのは「連打の達人 the Movie」「桃太郎電鉄 the Movie」といったソフト計16本。いずれも人気アプリの使い方解説などを装っていたが、内部では利用者の名前と電話番号、Android ID、電話帳に登録されている人の名前、電話番号、メールアドレスといった情報を外部サイトに送信していた。これらのアプリは問題発覚後の13日には全て削除されたが、すでに6万6000件から最大で27万件がダウンロードされており、延べ数十万人から数百万人の大量の個人情報が流出した可能性があるとみられている。

アプリの起動時には明らかに不要と思われるパーミッションが要求されていたとのことで、以前から啓蒙されているように公式マーケットであっても怪しいアプリは使用しないよう注意されたし。ただし、本件ではアドレス帳の情報も流出しているため、日ごろから自衛している人も知人経由で個人情報が漏洩している可能性がある。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2012年04月17日 7時22分 (#2137151)

    こういうのって自分がいくら注意しようが、他の人のせいで自分の個人情報が流出してしまうのが悲しいところ。

  • by renja (12958) on 2012年04月17日 7時28分 (#2137154) 日記

    >アプリの起動時には明らかに不要と思われるパーミッションが要求されていたとのことで、

    やはり公式にマーケット運営がそういう部分を審査していなければ被害は防げないのではないでしょうか?
    appleの方でもマルウェアアプリが問題になってますから、審査があってもそういう部分を見逃していたら効果がないわけですが。

    ほんと、スマートフォンは一般人には過ぎた物ですね。
    アレゲ人には良い大人の実用おもちゃなのですが、知識のない素人が手を出すと実用面・安全面など色々問題が……

    #職場のじいさん「またなんだかアップデートしろって来てるよー。なんだかわからないから無視してるけど。」
    #素人にとって、アップデートやカスタマイズを適切にしなければ安全快適に使用できない電化製品は「欠陥品」だって話もありましたね。

    --

    ψアレゲな事を真面目にやることこそアレゲだと思う。
    • マーケットで、
      要求されるパーミッションによる絞り込み検索ができるようになればいいのにと思っていますが、
      そういう動きはないのでしょうかね?

      これが実現されれば個人である程度容易に防衛できると思うのですが。

      親コメント
    • by Anonymous Coward
      あなたの弁に沿って対策を考えてみた。

      ケース1:あなたが一般人の場合。
      【対策】スマートホンを使用しない。

      ケース2:あなたが一般人ではない場合。
      【対策】一般人(例:職場のじいさん)に教えてあげる。
    • by Anonymous Coward

      まっとうな目的でアドレス帳まるごとのデータがどうしても必要だというシチュエーションが思い浮かばない。各OS公式の電話、メール、バックアップアプリ以外アドレス帳にタッチ出来ないようにしてもいいんじゃないかな。
      通信関連のアプリなんかはちょっと面倒だけど、ユーザーが自分で連絡先をコピーペーストしたほうが何をしてるかわかっていいと思う。

      あるいはアプリがアドレス帳にアクセスしようとするたびに、最近のブラウザの証明書エラーのような怖めのメッセージをだすのはどうだろう。
      「アドレス帳を盗み取る詐欺アプリの可能性もあります。あなたが責任を問われる恐れがあります。それでも許可しますか?」といった感じで。

      • by haratake (365) on 2012年04月17日 12時31分 (#2137356)

        まっとうな目的でアドレス帳まるごとのデータがどうしても必要だというシチュエーションが思い浮かばない。

        それが全うかどうかは別として、facebookとかアドレス帳をまるごと取得して、友達を自動的にさがしたりしてますよね。

        親コメント
      • by Anonymous Coward

        公式以外のメーラーを使いたい場合は多々ありますし、入力補助でアドレス帳を参照するものも便利です。
        利用時に毎回警告は鬱陶しいので、インストール時の警告を強めるべきだと思います。

        • by Anonymous Coward

          タバコやコンニャクゼリーの警告程度じゃダメなんだろうな、きっと。

  • by lumin (16006) on 2012年04月17日 7時36分 (#2137155) 日記
    対策アプリもでましたよ。The Movie系検知アプリ https://play.google.com/store/apps/details?id=jp.co.netagent.malcheck.... [google.com]

    id入り記事もはっておきます: http://itlifehack.jp/archives/6957459.html [itlifehack.jp]
    • by Anonymous Coward on 2012年04月17日 7時57分 (#2137160)

      そのアプリ信用できんの?個人情報アクセスするって書いてあるぞ!

      親コメント
      • by Anonymous Coward

        このように「電子計算機のプログラムに対する社会一般の者の信頼」が損なわれるから不正指令電磁的記録に関する罪が作られたわけだ。

        • by Anonymous Coward

          各国で連携して捜査, 立件でもしない限り,
          この種の問題については抑止力にすらならないですよね.

          # そういう意味でもアレは悪法だと思う

          • by Anonymous Coward

            この件に関しては日本国内に閉じてるんだからちゃんと取り締まれるだろ。

  • by PEEK (27419) on 2012年04月17日 9時40分 (#2137221)

    防御するにはフォークが必須か?

    • by epgrec (43527) on 2012年04月17日 10時46分 (#2137263)

      フォークの必要があるかどうかはわかんないけど、こんだけ多くの人が使うようになると
      インストール時にパーミッションの警告が出てたでしょう、許可したのはあなたですよ的な
      言い分を通すのは難しくなってるような気がしますね~。
      あの警告は、あまりわかりやすいとも言えないし。

      なんで、やばい一部のパーミッションはデフォルトで利用を禁止しておいて、アプリ実行時に
      パーミッションを使おうとしたら、その場で警告を出す、というようにしたほうがいいのかも。
      そのような仕組を作るのなら、AndroidはAPIの完全なフックはできないっぽいので、
      AndroidのVMとかに手を入れるしか無さそうな。

      親コメント
    • by PEEK (27419) on 2012年04月17日 11時53分 (#2137320)

      フォーク(食器)
      としといた方がよかったかな?

      親コメント
    • by Anonymous Coward

      名状しがたいソフトウェア「這いよれ! マル子さん」

    • by Anonymous Coward

      DoJaのXStringみたいに設計上で回避しようとは考えなかっただろうか...

  • by Anonymous Coward on 2012年04月17日 14時36分 (#2137483)

    とシマンテックの中の人が書いてます [symantec.com]。Joji Hamadaって誰かと思ったら日本のセキュリティレスポンス シニアマネージャである浜田譲治さんですね(最近発表会で露出してませんな。少なくても今年はまだ拝見していない)。

    送信先サーバーがワンクリPUPと同じとも指摘しています。16本をインストールしたホーム画面も載せてます。

    マカフィーもブログ載せていて、通信内容の一部が見えるようになっています。

    ………資本力と技術力持っている会社ならではだよなぁと思う次第。

  • by Anonymous Coward on 2012年04月17日 7時25分 (#2137152)

    不正アクセスなしでどうやったんだろう?

    • by Anonymous Coward

      送信先のドメインとか、Googleに開発中登録したカードじゃない?
      個人で特定したなら、ドメインの登録情報かな

    • by Anonymous Coward
      以前から有料ソフトだと作者の氏名、住所などが見れる(作者からも購入者の情報が見える)はずで問題になってますが
      無料でも一部を除いて見えるのがGoogle Playの標準仕様のはず。
  • by Anonymous Coward on 2012年04月17日 7時49分 (#2137158)

    こんな数百万人分の情報を入手してどうするつもりだったんだろう。
    名簿業者に売りさばくつもりだったのかな。

    そもそも個人情報を集めて広告事業って収益が上向くのかわからないけど、もしそれを活かせるだけの技術力があるなら、もっと全うな方向で発揮してほしい。上っ面だけでもAndroidアプリを作れたのだから。

    まあ、どうせどこかの暴力団のフロント企業なんでしょうけど。

    • by Anonymous Coward

      いや技術力ないでしょ
      実際ちゃんと収集してたかどうかもわからないし、一応サーバーへ送信する仕組みは作ったようだけど

      こんなバカが勝手に個人情報を集めると、サーバー側も脆弱性ありまくりの可能性が高く
      サーバー側からネットに情報漏れちゃうって二時被害も可能性があるからねぇ

  • まさしく時代を先取りしたアプリケーションということか
    http://it.srad.jp/story/12/04/13/0912212/%E3%83%97%E3%83%A9%E3%82%A4%E... [srad.jp]
    電話帳に登録されている人の名前、電話番号、メールアドレスも所詮は他人のプライバシー情報

    • by Anonymous Coward

      プライバシーとは無関係に犯罪(不正指令電磁的記録に関する罪)ですが何か? 著作権侵害は糾弾するくせに

  • by Anonymous Coward on 2012年04月17日 9時15分 (#2137195)

    せっかくOSに便利な機能がついているのに、root権限が無いせいで使えない現状を何とかして欲しい>キャリア・メーカー

    • by skytemple (34712) on 2012年04月17日 11時14分 (#2137286)

      後からroot権限で入れられないのであれば、せめてセキュリティベンダと提携して、rootが必要なfirewallとかの機能もついたセキュリティソフトを端末にプリインストールして欲しいとは思いますね。
      まぁ、ベンダロックインになってしまうので、あまり望ましくはないのは承知ですが…。

      親コメント
    • by Anonymous Coward

      せっかくマルウェアに活用できるあんな機能やこんな機能も使い放題なのにね。仕方がないから脆弱性をついてroot権限を奪取するか。
      というわけでお行儀よくせざるを得ない防御側のほうが圧倒的に不利。ていうか無理ゲー。iOS用のウイルス対策ソフトなど気休めの「鰯の頭」にしかならないという意味ではAppleは正しい。

    • by Anonymous Coward

      下手にroot権限使えるようにしたら、そこからさらにウィルスが入ってくるのでは?
      だいたいSIMフリーの機種だって最初からroot権限で使えるようになっているのはありません。
      googleが標準機能として提供するのがいいのではないでしょうか。

      #でも上記のものをインストールしたところで何の解決になるのかな。通信を検知・遮断するだけなら
      #通信必須のアプリに対しては効力が無いし、アドレス帳読み取りについてはインストール時にandoridの注意書きが
      #表示されているのを了解してインストールしているので保護されない。

      • by Anonymous Coward

        > 下手にroot権限使えるようにしたら、そこからさらにウィルスが入ってくるのでは?
        実例: WindowsやMac OS X

      • by Anonymous Coward

        対象としてるサーバー以外と通信してるのが検知できれば一発かと。

        現状システムファイルを改竄されたらRoot取らないと修正できないし、
        ユーザーがルートになれるに越したことは無い。

        大体、そのスマートフォンは誰のものだ?
        ユーザーに管理者権限が無いってことは、情報流出の責任は他にあるってことだよな?

        管理者がGoogleや携帯キャリアなんだったら、
        それを相手に現状復旧(ネットに流出した個人情報の全削除!)を求める訴訟起こしてもいいんじゃね?

    • by Anonymous Coward

      確かに便利ですが、広告もカットできてしまうのでGoogleはやらないでしょうね。
      広告は決まったポートを使ってそこは
      停止できないとかなら可能かな?

    • by Anonymous Coward

      単にネットワークのパーミッションをドメイン限定にしてくれるだけで十分なんですがのー。

  • by Anonymous Coward on 2012年04月17日 9時25分 (#2137204)

    ユーザーに尋ねるタイプの「セキュリティ」はGoogleの責任逃れ以外に何の意味もないって言いたいの?

    • by Anonymous Coward

      パーミッションでは判断材料としては不十分。

      優秀なハッカーがパケットログ見てやっと黒と判別するしか無いこの現状、ユーザが自衛する手段にはなっていない。

      今回問題になっている「個人情報」へのアクセス権はGmailアプリだって必要としているし、こんなもので何が黒かなんて判断しようがない。

      アプリの主目的と内部実装を予想・考察して、「この権限いるか?」と懸念するところまでは出来ても「黒」と言い切れる材料でもない。
      逆に言えば、アプリの主目的と合致しているが、裏で不正行為をしているという状態は「この権限いるか?」と懸念する事も不可能。

      権限については毎回ちゃんと読みはしますけれども、マジで意味ねーと思ってます。
      # 読まない人も大勢いるのでは?

      • by Anonymous Coward

        ライブ壁紙に「完全なインターネットアクセス」「電話機能へのアクセス」「位置情報へのアクセス」とかがあったら
        さすがに馬鹿でも入れんだろと思うが・・・

        ユーザーレビューで綺麗でかわいいです5点、とか書かれてたりするとあああ、ってなるよね・・・。

  • by Anonymous Coward on 2012年04月17日 13時20分 (#2137429)

    27万人というのは、該当アプリ全てが「インストール数10000-50000」のような表示の最大値ギリギリのダウンロード数で、一人で複数の該当アプリをダウンロードして重複カウントされている人もいなかった場合にようやく達する数字らしいです。(参考: http://android-smart.com/?p=22068 [android-smart.com])
    数万人から数十件ずつ送信されれば200万とか300万にはなるかも知れませんが、タイトルに「数百万」なんて数字を持ち出すのは大げさすぎではないでしょうか?

    • 「非リア充のスマホの平均電話帳件数2件」なら盛りすぎ。
      平均で考えると、何かの調査で20代平均50件、30代平均30件らしいので控えめ。
      リア充なら100件超えているので、少なすぎ。
      数百は200以上なのでまあ妥当なせんだとおもいます。
      「正解は警視庁の発表を待て。」といったところで。
      親コメント
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...