パスワードを忘れた? アカウント作成
13945373 story
Android

Google Playで公開されている偽アプリ、1割以上にマルウェアの疑いがあるとの調査結果 15

ストーリー by hylom
偽アプリを作る理由 部門より

headless曰く、

オーストラリア連邦科学産業研究機構(CSIRO)とシドニー大学の研究グループが2年間かけて実施した調査によると、Google Playで公開されている偽アプリの1割以上はマルウェアを含む可能性があるようだ(シドニー大学のニュース記事The Next Web論文アブストラクト論文PDF)。

Google Playでは人気アプリの偽物たびたび発見されているが、研究グループはアプリアイコンを学習した畳み込みニューラルネットワークによるコンテンツとスタイルのマルチモーダル埋め込みを用いた偽アプリ検出方法を提唱している。この手法でGoogle Playで公開されているアプリ120万本以上のアイコンを使用して調査したところ、人気上位アプリ10,000本の偽物の疑いのあるアプリ60,638本を検出。そのうちAPKを入手できたアプリ49,608本をVirusTotalでスキャンした結果、アンチウイルスツールの少なくとも5本がマルウェアの可能性があるとタグ付けしているものが2,040本あったそうだ。

このうち1,565本ではオリジナルのアプリが要求しない5件以上の危険なパーミッションを要求しており、1,407本はサードパーティー製の広告ライブラリー5件以上が追加されていたとのこと。なお、少なくとも1本のアンチウィルスツールがマルウェアの可能性があるとタグ付けしていたアプリ7,246本のうち、論文執筆時点では3,358本がGoogle Playで入手できなくなっているという。研究で用いた手法は既存の手法と比べ、高い効率で偽アプリを検出可能とのことだ。

  • by junichi308 (15687) on 2019年06月28日 16時12分 (#3642141)

    Googleに連絡して削除して貰うなりしてくれたりしてないのかな?_

    ここに返信
  • by Anonymous Coward on 2019年06月28日 13時43分 (#3642046)

    …可能性があるようだ
    …あったそうだ。
    …とのこと。
    …できなくなっているという。
    …とのことだ。

    ここに返信
    • by Anonymous Coward
      都合の悪い業界の方ですかな?
      • by Anonymous Coward

        不正な利益以外の目的で偽アプリ作るやつはそう多くないと思うんだが、
        それ踏まえるとマルウェアがたった一割ってのは少なすぎるように思える。

        そりゃ広告やらアプリ代で儲ける事もできるだろうが、
        端から不正に手を染めてんのに収益化手段を選ぶなんて半端な事するかね?
        下手すりゃ収益が振り込まれる前に差し押さえられたりする恐れもあるってのに。

        て考えると不正でも何でもない類似アプリが混ざりまくって精度落ちてんじゃないかと。

  • by Anonymous Coward on 2019年06月28日 13時57分 (#3642056)

    マルウェアじゃない残り9割の偽アプリは何者なんだってばよ?

    アンチウイルスツールの少なくとも5本がマルウェアの可能性があるとタグ付けしているものが

    同じエンジン・パターンファイルを使ってるけど「アンチウイルスツール」としては違うものが有るわけだけど、その辺りを考慮に入れずに5本とだけ閾値を設定するのは乱暴すぎるのではないだろうか?

    ここに返信
    • by Anonymous Coward

      広告しか表示されないアプリとかかな。アドウェアと言うらしい。

    • by Anonymous Coward

      【偽アプリ内訳】
      個人情報の収集を行う マルウェア 10%
      個人情報に敬意をはらい尊法主義を貫く シカクウェア 5%
      個人情報を時々取りこぼす サンカクウエア 25%
      個人情報が全く取れない バツウェア 60%

      • by Anonymous Coward

        >シカクウェア

        そこはスクウェアとお答えいただきたかった

  • by Anonymous Coward on 2019年06月28日 18時19分 (#3642242)

    まぁオープンソースだからその辺は自由なんだが、ロゴ差し替え程度で自前ビルド・有料販売・放置ってやり方は腹立たしいね。
    確かに120円くらいの価値はあるから後悔はしないかもしれないが、仮にそれが無料で入手できて最新版はもっと高機能だと知ったらどうだろうか。
    あえて言えばサポート(レビューでの批判やメール問い合わせを無視する事)と多くの人へのアクセス(まぁそれらのアプリがなければ公式アプリを先に見つけただろうけど)を提供しているといえばそれは確かにその通りだ。
    以前のスラドで話題になった時もそこそこ擁護者は多かった。
    でも正直クソだと思うね。消えるべし。

    アプリストア系、この手のオープンソースに対するもうちょっとうまいアプローチないのかね?
    自分はF-Droidとか使っているから安心感はあるが、そんな人ほとんどいないでしょ。
    ついでに言えばライブラリ周りももう少しうまく処理して欲しかったけどそれは無理だろうな。

    ここに返信
  • by Anonymous Coward on 2019年06月29日 2時19分 (#3642442)

    しかしオープンソースやフリーソフトの行きついた先が今の状態とは…
    かつて理想を掲げていた人たちは今をどう感じているのだろう

    ここに返信
    • by Anonymous Coward

      どこにオープンソースが関係しているの?

      • by Anonymous Coward

        既存品の丸パクリ→不正な偽アプリ
        オープンソース→大量の類似アプリ
        アイコンや機能が一緒な類似アプリってオープンソースのアプリをちょっと変えただけのバリエーションなケースも結構あるんだよ。
        それを偽アプリとは言わないと思うけど、ストーリーに書かれているような手法で検出したら間違いなく引っかかるだろうね。

        元コメの人が後者のみを指して偽アプリと誤解してそのうち一割がマルウェアだと嘆いているのか、
        オプソが偽物にしか見えない大量の類似アプリ生産用テンプレに成り下がってる事を嘆いているのか、
        それとも別の解釈で嘆いているのかは知らん。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...