※本ブログは、Mobile Malware Researcher 中島大輔によるものです。
※本ブログの内容は2013年12月4日時点のものです。
先のブログでMcAfeeは、日本および韓国ユーザーの電話番号の収集を行う不審なAndroidアプリをGoogle Play上で発見したことを報告しました。私たちはさらに、電話番号を盗み出す別の2つの不審な日本語チャットアプリをGoogle Play上で確認しました。それらのアプリのダウンロード数はともに10,000回から50,000回に上ります。また、アプリ開発者が不正な方法でGoogle Play上でのアプリの評価を上げていること、アダルト出会い系サイトを運営していることもわかっています。
Fig.1 端末ユーザーの電話番号を漏洩させる2つの不審な日本語チャットアプリ
これらの不審アプリ「CHATLINE」「CONNECT LINE」は、どこか人気メッセージングアプリ「LINE」との関連性をユーザーに印象付けるようなアプリ名ですが、実際には「LINE」とは何の関係もありません。
これらのアプリは端末ユーザーの電話番号、IMEI(国際移動体装置識別番号)、SIMシリアル番号といった情報を取得し、外部のWebサーバーに送信します。これは、チャットサービスを使用するためのユーザープロファイルを作成する前に、ユーザーが単にアプリを起動しただけで行われます。さらに、ユーザープロファイルを作成すると、画面上で入力したニックネーム、性別、居住地域、生年月日、自己紹介といった情報が、上記の端末情報とともに同じサーバーに送信されます。これらの属性情報は必ずしも正しい情報を入力する必要はありませんが、実際のチャット内でより詳細な個人情報や趣味・嗜好などの属性情報を送信すると、それらのメッセージが電話番号と関連付けられてアプリ開発者に保存される可能性も否定できません。これは、プライバシー上の大きなリスクになりえます。
Fig.2 不審なチャットアプリの画面
Fig.3 アプリからサーバーに送信される情報の例
アプリはインストール時にREAD_PHONE_STATEその他の権限を要求しますが、電話番号などの端末情報を外部サーバーに送信することを、Google Play上のアプリ説明ページやアプリ起動時の画面上でユーザーに対し通知も承諾確認もしていません。また、その旨を(アプリ実行後に初めてアクセス可能な)利用規約ページ等にも記載していません。これは、アプリがユーザーに知られることなく密かに機密情報を収集していることを意味します。
Google Play上でこれらのアプリは非常に高いレビュースコアを得ていますが、どうもこれは不正な方法で行われているようです。アプリが提供するチャットサービスは登録無料ですが、実際のチャットを行うには「ポイント」をGoogle Wallet等で購入する必要があります。初回登録ユーザーにはボーナスポイントが付与されますが、それはすぐに消費され、チャットを続行するには追加ポイントを購入する旨が告げられます。ここで、アプリは「Google Play上でアプリに高スコア(4か5)の評価を行えば、さらにボーナスポイントを無償で付与する」というオファーを行うことで、不正にアプリの評価スコアを釣り上げているようです。このような順位操作行為はGoogle Play Developer Program Policies で厳しく禁止されているにもかかわらず平気でそれを無視し不正を行っていることから、これらのアプリの開発者には悪意があるといえます。
Fig.4 不正な方法でGoogle Play上のアプリ評価を釣り上げている
今回発見された2つのアプリがほぼ同じコードを共有していることから、これらのアプリは実際には同じ開発者か互いに関連するグループによって開発されたものだと私たちは考えています。また、私たちがこれらのアプリ開発者についてアプリ上に記載されている会社名から調査したところ、これらの会社はいくつかのアダルト出会い系サービスを運営しているようです。今回の不審アプリが収集した電話番号その他の情報が詐欺や悪質な目的で使用されているかどうは確認できていません。しかし、これらのアプリのユーザーは自身のプライバシーにとって脅威となる情報がこのような開発会社に勝手に送信されていることを認識すべきです。
Fig.5 不審アプリの開発会社が運営しているアダルト出会い系サービス
Android端末のユーザーは常に、興味を持ったアプリが外部送信する可能性のある個人情報について、それらのアプリのインストール前に確認するべきです。例えば、アプリのダウンロードやインストールに表示されるパーミッション要求画面、Google Play上のアプリ説明ページの内容、もし存在する場合はアプリの利用規約やプライバシーポリシー等です。そして、もし個人情報が開発者に渡される可能性がある場合は、その開発者が本当に信頼に値するかどうか注意して確認してください。特に、チャット、SNS、その他コミュニケーション関連アプリの場合は、よく知られていない開発者によって公開された比較的新しい(つまり、使用実績の少ない)アプリのインストールを避けることをお勧めします。
McAfee Mobile Security はこれら2つの不審アプリをAndroid/ChatLeaker.Bとして検出します。
関連記事
- [2013/11/22] 日本のユーザーを狙った、電話番号を密かに盗むAndroidチャットアプリをGoogle Playで発見
- [2013/11/29] 電話番号を狙う不審なAndroidアプリ、韓国ユーザー向けもGoogle Play上に多数発見
※本ページの内容はMcAfee Blogの抄訳です。
原文:More Japanese Chat Apps on Google Play Steal Phone Numbers