※本ブログの内容は2014年1月31日時点のものです。
LINEやカカオトークに代表される無料通話・メッセージングアプリで見知らぬユーザーとチャット友達になるための「友達募集掲示板」「ID掲示板」と呼ばれる非公式なWebサイトやアプリが多数運営されています。電話番号やメールアドレスを知らせることなく、匿名の「ID」を広く公開することで不特定多数のユーザーとチャット等の対話ができるようになる一方、悪意のある相手からのアプローチにより犯罪に巻き込まれるケースも報告されるなど、危険が潜むことでも知られています。
McAfeeは最近、各種メッセージングサービスのID公開や実際のチャット機能を持つ一方で、ユーザーの電話番号やGoogleアカウント名(Gmailメールアドレス)といった個人情報も密かに収集する複数のAndroid端末用チャット友達募集掲示板アプリをGoogle Play上で確認しました。
Fig.1: 個人情報を密かに外部送信するチャット友達募集掲示板アプリ
一部のアプリではユーザーインタフェースやアプリ説明ページが日本語対応されていたり、Mixi IDなど日本特有のサービスのID登録ができたりするなど、日本ユーザーも主要なターゲットであると思われる一方、不自然な日本語の使用や韓国語でのユーザーの発言が見られたり、これら全てのアプリの共通の通信先サーバーのIPアドレスが韓国のものであることなどから、韓国のアプリ開発者によるもの、またはそれの改変ではないかと推測しています。また、アプリ説明ページの内容自体が、既存の他の同種の日本語アプリのものを勝手に流用しているようにも見え、例えば、利用規約についてはアプリ起動時のダイアログで確認とあるものの、実際はそのような処理は実装されていない、など、適正に運用されているのかも不明です。
Fig.2: 危険なチャット友達募集掲示板の1つ
あるアプリでは、プロフィール画像、ニックネーム、性別、居住地区などの簡単なプロフィール情報の他、LINE、Kakao、Mixi、Skypeの4種のサービスのIDを登録し公開することが可能です。これらの情報が友達募集一覧にタイムラインとして掲載され、他のユーザーからのアプローチを受けたり、逆にこちらからアプローチしたりすることが可能になります。また、それらの外部サービスを使用せずとも、このアプリ自体でも直接チャットが可能なようです。
しかし、アプリ起動時およびプロフィール登録・更新時には、ユーザーに知られずに電話番号、Gmailメールアドレス、IMEI、SIMシリアル番号がアプリ開発者のサーバーに送信されています。これらの情報、特に電話番号とメールアドレスが、各種サービスのIDやプロフィール情報、アプリ上でのチャット内容と紐づけられて取得・記録されることには、それぞれがばらばらに記録されることよりも大きな危険が潜むと言えるでしょう。
これら密かに収集された個人情報や端末情報と、それらの各種IDやプロフィール情報との関連付け情報は、このアプリを使用しているその他のユーザーには画面上では公開されません。しかし、例えば、情報が保存されたサーバーやアプリ自体のセキュリティ問題によりデータが漏洩する可能性も否定できず、悪用される危険もあります。
Fig.3: チャット友達募集画面とプロフィール設定画面
これらのアプリのインストール時には、コミュニケーションアプリとはいえ不必要とも思える多数の権限が要求されます。ただし、上で述べた危険な処理に関連するのは、READ_PHONE_STATE (端末のステータスとIDの読み取り)とGET_ACCOUNTS(この端末上のアカウントの検索)であり、他の権限は同梱される広告モジュール等が使用しているか、使用されていないようです。
いつも言われていることですが、アプリのインストール時にはそれが要求する権限を注意深く確認し、個人情報を脅かす機能が要求されている場合には、そのアプリが信頼できる開発者によるものかどうかを確認すべきです。
Fig.4: インストール時にアプリが要求する多数の権限
友達募集掲示板・ID掲示板の使用自体が危険と言われているのにも加え、さらにこのような不審な掲示板アプリを使用すると個人情報の流出とそれらの各種IDとの紐づけが行われうるという危険にもさらされます。どうしてもこの種の掲示板の使用が必要であれば(必要とは思いませんが)、アプリを避け、Webサイトのみを使用するのも個人情報流出防止という点では有効かもしれません。
McAfee Mobile Securityはこれらの不審なチャット友達募集掲示板アプリを Android/ChatLeaker.F として検出します。
※本ページの内容はMcAfee Blogの抄訳です。
原文:Chat Friend Finder Apps on Google Play Leak Personal Information