パスワードを忘れた? アカウント作成
15194844 story
Android

Google Playにある古参アプリ、マルウェアと誤認される。マルウェア化したアプリと同名 24

ストーリー by nagazou
誤解 部門より
headless 曰く、

Google Playで1千万回以上インストールされているアプリ「Barcode Scanner」が12月4日のアップデートでマルウェア化し、デフォルトブラウザーで広告を表示するようになったとMalwarebyteが報告したところ、同名の古参アプリがマルウェアと誤解されてしまう事態になったようだ( The Vergeの記事The Registerの記事Android Policeの記事)。

マルウェアと誤解された同名アプリはZXing Teamによるもので、Android Market(現Google Play Store)スタート当初から公開されている最古参アプリのひとつだ。インストール件数は1億件を超えており、マルウェア化したアプリとは一桁違う。日本語版では「QRコードスキャナー」という名称になっているが、Google Playを英語表示にするとマルウェア化したアプリと同じ「Barcode Scanner」という名称が表示される。

Malwarebyteは最初の報告時点でマルウェア化した方のアプリは既に削除されていると説明しており、開発者を含め別物のアプリであることはスクリーンショットから確認できる。しかし、Google Playで「Barcode Scanner」を検索すると最初に表示される同名アプリということもあってか、マルウェアだと糾弾する1つ星レビューと間違いを指摘する5つ星レビューが多数投稿されることになる。

ただし、ZXingのアプリをアドウェア/マルウェアとする1つ星レビューが増加し始めたのは12月下旬のことだ。中には「ロゴが変わった(変わっていない)」「最近のアップデートをインストールしたらマルウェア化(最新版は2年近く前に公開された)」など別のアプリと間違えていると思われるレビューもあるが、詳細は不明だ。ZXingの開発者はAndroidのインテントが乗っ取られ、ZXintのアプリがデフォルトブラウザーで広告を表示しているように見えている可能性も否定できないとThe Vergeに語っている。

なお、マルウェア化した方のBarcode Scannerアプリについて、Malwarebyteでは開発者/提供元の変更により悪意あるコードが追加された可能性に言及していないが、Internet ArchiveでGoogle Playのスナップショットを見ると開発者/提供元が最近変更されているようだ。一番古い2017年5月のスナップショットではアプリ名の下に表示される開発者名と追加情報に表示される提供元がともに「Barcode Scanner」だが、2020年11月のスナップショットではGoogle Play Passで利用可能というバナーが追加され、提供元のみ「Google Commerce Ltd」になっている。ここまで開発者の住所や電子メールアドレスは変わっていないが、Malwarebyteの記事に掲載されているスクリーンショットでは開発者・提供元ともに「LAVABIRD LTD」となっており、住所や電子メールアドレスも変更されている。

なお、LAVABIRD LTDは現在4本のアプリをGoogle Playで公開しており、アプリケーションIDからみて他の開発者から買収したアプリのような雰囲気だが、特に問題が発生しているようには見受けられない。

  • 教訓 (スコア:3, 参考になる)

    by taka2 (14791) on 2021年02月12日 19時44分 (#3976838) ホームページ 日記

    ここで教訓にすべきなのは、「Barcode Scanner」なんていう、一般名詞だけのアプリ名にするから間違えられるので、ちゃんとブランド名などを付けるなど、固有名詞化しておけ、ってことですかね。

    ZXing って、オープンソースバーコード認識ライブラリの老舗だよね。とてもお世話になってます。

    ちょっと前にAndroidアプリのQRコードリーダーを探した時、検索でひっかっかるのが山ほどあって途方に暮れて、結局さんざん迷ったあげくに(もう今は大丈夫だろう、と)デンソー公式のQ [yro.srad.jp]を入れたんですが、
    ZXing と分かっていれば、ZXingのを入れてたと思う。

    #オープンソース系の有名どころも、たまに野良ビルドして広告つけたようなパチモンがあるので油断ならないんですが…

    ここに返信
    • by ikotom (20155) on 2021年02月13日 7時18分 (#3977014)

      zxing の開発チームって確か Google に吸収されたんじゃなかったかな?
      Androidに入ってるGoogle公式カメラアプリのスキャナ機能やGoogle Cloud Scan なんかが
      zxing の技術をベースに開発されたって話をどこかで見た気がする(うろ覚え)

      そういう意味では半分公式アプリみたいなものと言えるし
      英語版Wikiのページがあるとおり名の知れたアプリだったんだけど
      URLをバーコード化して知人に共有するって機能のためと言って
      連絡先にアクセスするのが嫌で他に乗り換えた記憶が。

      (参考)
      Barcode Scanner (application) - Wikipedia
      https://en.wikipedia.org/wiki/Barcode_Scanner_(application) [wikipedia.org]

    • by Anonymous Coward

      昔のフリーソフトによくあった、
      バーコード好きやな〜
      みたいなノリのアプリ名のほうがマシってことか

    • by Anonymous Coward

      ただのQR読みだしだけなら今時のスマホはデフォルトのカメラアプリがQRコードを自動認識しますし、プリインストールされてるかもしれないGoogle Lens [google.com]で読めます。

      ZXingのQRコードスキャナーは、名前に反して、CODE 39とか、Code 128、Data Matrixとかも読めるのでパソコンやパーツの型式やシリアルナンバー等を打ち込むのが面倒な時に入れておくと便利ですよ。

      Qは読み取り性能が高いので別途入れてはいます。

      • by Anonymous Coward on 2021年02月13日 8時49分 (#3977049)

        >ZXingのQRコードスキャナーは、名前に反して、CODE 39とか、Code 128、Data Matrixとかも読める
        とは言え、やっぱりバーコードは、インラインスキャナはインラインスキャナ屋で、2次元(3次元)スキャナのカメラで、
        せっかくの1次元(2次元)のコードを読むのは、無駄な負担が大きく、ノートPCにつなぐ、
        2、3千円のスキャナより圧倒的にもっさり or 読めない。

        とはいえ、iOSのQRコードスキャナーでバーコードが読めると称している奴は、JANしか読めないとか
        なので、それに比べると優秀ですが、キーボード扱いで、パッパッとメモ帳に読み取り結果を
        貼り付けられるノートPC用のスキャナの簡便性には敵わない様です。

    • by Anonymous Coward

      > 固有名詞化しておけ

      Windows「せやな」
      Word「せやせや」
      IME「それな」
      Access「ほんとそれ」

      • by Anonymous Coward on 2021年02月12日 22時30分 (#3976923)

        その点、Appleはすげぇよな
        一般名詞を固有名詞化したんだもん

        • by Anonymous Coward

          君んとこは、一般名詞以外に同語源?のマクドナルドとも被ってて二重にややこしいんだよ。

        • by Anonymous Coward

          アップル・レコード「忘れてもらっちゃ困るな」

          • by Anonymous Coward

            マジレスすると、アップルが全商標を持ちアップル・レコードはアップルから
            商標の一部をライセンスされている [wikipedia.org]

            • by Anonymous Coward


              > 一般名詞を固有名詞化した
              ならアップル・レコードの方が先って話なのに、今はどうなってるかなんてことを持ち出す意味がわからん

    • by Anonymous Coward

      ZXing のアプリはメンテ放棄されてるのがちょっとね
      ZXing のライブラリ使ったossアプリなら開発継続中のものがいくつかあるが

      • by Anonymous Coward

        そもそも、QRコードに毎年新バージョンが出て更新が必要なわけでもないし、
        バグがなけりゃ更新する必要も無いでしょう

        • by Anonymous Coward

          アプリを動かすAndroidの方は毎年更新されるんだよな
          ターゲットAPIが古すぎて、APIを上げないまま更新することをGoogle Playが許してくれないというのが今の状態で、バグがでても直さないと明言済み
          おそらくこういうアプリは数年後にGoogleが粛清するだろう

        • by Anonymous Coward

          確か脆弱性が放置されてるってF-Droidが警告してた気がする。

  • by Anonymous Coward on 2021年02月12日 23時08分 (#3976943)

    Googleが「既に同名アプリがある場合は登録できない」ってルールで運営すればいいだけだと思うのだけど。
    企業名を冠するなりして一意にさせることは可能でしょ。

    ここに返信
    • by donadona (37711) on 2021年02月12日 23時50分 (#3976955)

      それをやると、大量生産クソアプリでアプリ名を大量に確保して、希望者に高額で名前を売るヤカラが現れると思う。

    • by Anonymous Coward

      クラス名でユニークさが確保されているなら報道もそうあるべき。
      Malwarebyteの報告に問題があったのでは?

    • by Anonymous Coward

      Googleが「既に同名アプリがある場合は登録できない」ってルールで運営すればいいだけだと思うのだけど。

      それ以前にストアでアプリ名検索で探させること自体が
      根本的な問題じゃないかと
      同名を防いでも似た名前があったら意味がない

      アプリ名で検索なんてはっきり言って
      偽物掴まされて本物は使わないでね
      ってプロモーションにしかなっていない

      一番笑ったアプリの周知方法をしたのがAmazon
      二段階認証アプリをストアで探して使ってね
      ってアホかと
      しかもサポートにその危険性を
      小学生でもわかるように説明しても理解できない徹底ぶり
      セキュリティのセの字もわかっていない

    • by Anonymous Coward

      リレーショナルデータベース脳。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...