「Google Play」上に個人情報抜き取るチャットアプリ

マカフィーは、電話番号を窃取するために作成されたと見られるチャットアプリ2種を「Google Play」上で確認しております。セキュリティ対策アプリの検出を逃れるためか、個人情報を抜き出すコードは、サーバ側に用意されていたようです。

問題のアプリは、Android向けに公開されていた「Machin Chat」「Real チャット掲示板」。いずれもすでにGoogle Play上からは削除されており、同社では「Android/ChatLeaker.A」として検出するよう対処したそうです。

いずれのアプリも、日本人向けに作成されたと見られ、無料で利用できるチャットアプリなどと説明が書かれていたようです。登録不要などと書かれていましたが、端末の電話番号を窃取する機能を備えていたとのことです。同社でアプリを試したところ、本来の機能であるチャット機能も利用できなかったそうです。

また従来の個人情報を盗むことを目的とした不正アプリと構造が異なり、今回見つかったアプリでは情報を盗み出す機能を「APKファイル」内に実装するのではなく、「WebView」の脆弱性を利用していたようです。外部のサーバへアクセスした際に、サーバ側のJavaScriptにより抜き出す手法をとっています。

こうした実装方法では、セキュリティ対策アプリによる静的解析によって不正なコードを発見しにくいとマカフィーでは危険性を指摘しております。さらに、不正アプリの開発者以外が用意した不正サイトへアクセスした場合も、個人情報を抜き出されるおそれがあるようです。

今回見つかったアプリのダウンロード数は、数百回以下と回数は少ないものの、同社は同様の手法を利用したアプリが今後増加するおそれがあると指摘しております。

様々なアプリケーションが開発され、何かと便利になってきておりますが、どのアプリケーションもインストールされる前に一度ほんとうにそのアプリケーションが安全なのか下調べする事を推奨いたします。