※本ブログは、Mobile Malware Researcher 中島大輔によるものです。
※本ブログの内容は2014年3月28日時点のものです。
複数のSNSを使いこなしているユーザーの中には、それらの全てのサービスをまたがって自分自身を特定できる情報を公開している人もいれば、完全に別ユーザーとして全く異なる用途で各サービスを使っている人もいるでしょう。後者のユーザーにとっては、あるサービスでの情報と別のサービスでの情報を関連付けられることはプライバシー上の懸念等から望まない場合も多いかもしれません。
McAfeeは最近、Android端末ユーザーのGoogleアカウントID(多くの場合、Gmailメールアドレス)、FacebookアカウントID(ログイン用メールアドレス)、およびTwitterアカウントIDを密かに収集する不審なアプリをGoogle Play上で確認しました。これら複数のサービスでのユーザーアカウントIDが関連付けられて収集されるため、後で悪用・転売などされる可能性があります。なお、本アプリは、本執筆時点で約1000~5000件のダウンロードが確認されています。
Fig.1: Gmail, Facebook, TwitterのアカウントIDを収集するAndroidアプリ
このアプリは、YouTube上のいくつかのセクシー動画へのリンクをユーザーに提供するだけの動画閲覧アプリとして実装されています。しかし、このアプリ起動時には、端末に登録されているGoogleアカウントID、FacebookアカウントID、TwitterアカウントID、および端末の国・言語といった情報が無断でアプリ開発者の外部サーバーへ送信されます。これらの情報はアプリの動作には全く無関係であるため、不正な情報収集が目的だと考えられます。
Fig.2: 外部サーバーに情報が送信されている様子
GoogleアカウントIDを密かに収集するAndroidアプリについて以前のブログで紹介したように、アプリのインストール時に「端末上のアカウントを検索」(GET_ACCOUNTS)権限を許可すると、アプリはAccountManager.getAccountsByType()等のAndroid APIを使用して、端末に登録済みの様々なサービスのアカウント情報(パスワードは除く)を取得することが可能になります。パスワードを盗まれるわけではないため、即座にアカウントへの不正アクセス等が行われるわけではありませんが、サービスによってはアカウントIDがメールアドレスや電話番号である場合も多く、スパムやフィッシング等に悪用される可能性があります。また、複数のサービスのアカウントIDを取得されることにより、例えば、あるGmailアドレスを持つユーザーをFacebookやTwitter上で特定し詳細な個人情報や嗜好情報を収集するためのヒントを悪意ある人物に与えることにもなります。
Fig.3: 「端末上のアカウント検索」権限の要求と、アカウント情報取得可能なサービスの例
アプリが「端末上のアカウントを検索」(GET_ACCOUNTS)権限を要求してきた場合は、そのアプリが信頼できる開発会社から提供されているものか注意して確認してください。また、SNS等のサービスのプライバシー設定において、メールアドレスによる検索を許可、といった項目を不必要に有効化しないことをお奨めします。
McAfee Mobile Securityは、この不審アプリを Android/AccLeaker.A として検出します。
関連記事
- [2013/12/17] 不審な日本語AndroidアプリからのGoogleアカウントID漏洩に注意
※本ページの内容はMcAfee Blogの抄訳です。
原文:Suspicious Mobile App Finds Your Gmail, Facebook, and Twitter Accounts