Gmail、Facebook、TwitterのアカウントIDを収集する不審なモバイルアプリ

※本ブログは、Mobile Malware Researcher 中島大輔によるものです。
※本ブログの内容は2014年3月28日時点のものです。

複数のSNSを使いこなしているユーザーの中には、それらの全てのサービスをまたがって自分自身を特定できる情報を公開している人もいれば、完全に別ユーザーとして全く異なる用途で各サービスを使っている人もいるでしょう。後者のユーザーにとっては、あるサービスでの情報と別のサービスでの情報を関連付けられることはプライバシー上の懸念等から望まない場合も多いかもしれません。

McAfeeは最近、Android端末ユーザーのGoogleアカウントID(多くの場合、Gmailメールアドレス)、FacebookアカウントID(ログイン用メールアドレス)、およびTwitterアカウントIDを密かに収集する不審なアプリをGoogle Play上で確認しました。これら複数のサービスでのユーザーアカウントIDが関連付けられて収集されるため、後で悪用・転売などされる可能性があります。なお、本アプリは、本執筆時点で約1000~5000件のダウンロードが確認されています。


Fig.1: Gmail, Facebook, TwitterのアカウントIDを収集するAndroidアプリ

このアプリは、YouTube上のいくつかのセクシー動画へのリンクをユーザーに提供するだけの動画閲覧アプリとして実装されています。しかし、このアプリ起動時には、端末に登録されているGoogleアカウントID、FacebookアカウントID、TwitterアカウントID、および端末の国・言語といった情報が無断でアプリ開発者の外部サーバーへ送信されます。これらの情報はアプリの動作には全く無関係であるため、不正な情報収集が目的だと考えられます。


Fig.2: 外部サーバーに情報が送信されている様子

GoogleアカウントIDを密かに収集するAndroidアプリについて以前のブログで紹介したように、アプリのインストール時に「端末上のアカウントを検索」(GET_ACCOUNTS)権限を許可すると、アプリはAccountManager.getAccountsByType()等のAndroid APIを使用して、端末に登録済みの様々なサービスのアカウント情報(パスワードは除く)を取得することが可能になります。パスワードを盗まれるわけではないため、即座にアカウントへの不正アクセス等が行われるわけではありませんが、サービスによってはアカウントIDがメールアドレスや電話番号である場合も多く、スパムやフィッシング等に悪用される可能性があります。また、複数のサービスのアカウントIDを取得されることにより、例えば、あるGmailアドレスを持つユーザーをFacebookやTwitter上で特定し詳細な個人情報や嗜好情報を収集するためのヒントを悪意ある人物に与えることにもなります。


Fig.3: 「端末上のアカウント検索」権限の要求と、アカウント情報取得可能なサービスの例

アプリが「端末上のアカウントを検索」(GET_ACCOUNTS)権限を要求してきた場合は、そのアプリが信頼できる開発会社から提供されているものか注意して確認してください。また、SNS等のサービスのプライバシー設定において、メールアドレスによる検索を許可、といった項目を不必要に有効化しないことをお奨めします。

McAfee Mobile Securityは、この不審アプリを Android/AccLeaker.A として検出します。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速