Google PlayにアカウントIDを収集する多数のアプリケーション

Android端末上に登録されたアカウントのIDを収集する日本語アプリが、「Google Play」で複数確認されています。アカウントIDを収集する目的はわかっていませんが、悪用される可能性もあるとして、マカフィーでは注意を呼びかけております。

同社が確認した不審アプリは、占いアプリとして公開されている「極占」と出会い系アプリ「bB」というアプリケーションで、起動するとAndroid端末に登録されているアカウントのIDを取得し、外部サーバへ送信するようになっているそうです。2013年12月17日時点でいずれもすでに1〜5万回のダウンロードが行われていた事が確認されています。

同社では、これら以外にもアカウントIDやIMEI、IMSIを外部へ送信するアプリを30種以上を確認しているようです。開発者名は異なりますが、データ送信のために実装されているコードや送信先が共通で、同じ開発者か関連するグループが作成していると分析しています。ダウンロード回数は、あわせて数百万回にのぼるようです。

収集されたIDの使用目的は不明とのことです。。不正行為なども現時点では確認されていないそうですが、GoogleのアカウントIDは、Gmailアドレスとして利用されており、業者に売却されたり、スパムや詐欺メールが送信される可能性があるようです。

また、Android端末にはFacebookやTwitterをはじめ、SNSやクラウドサービスなど、Google以外のアカウント情報を登録している場合もあり、これらIDが取得されるおそれもあります。推測されやすいパスワードを設定している場合は、アカウントに不正アクセスされるおそれもあるほか、SNSなどでは、ID情報をもとに個人情報が検索される可能性もあります。

こうした情報へアクセスする権限の許可を求める場合、機能を実現するための正当な要求なのか、情報収集を目的とした要求なのか判断は難しいところです。同社は、パスワードが盗まれるわけではないものの、セキュリティやプライバシーに対するリスクがあるとして、インストール時に権限が要求された場合は、注意するよう呼びかけております。

単純なアプリケーションでも上記のようにアカウント情報を要求するアプリケーションもあります。
インストールする際に求められる権限にどういったものが含まれているのか、インストールする前に確認するようにしましょう。

http://www.security-next.com/045224