「Google Play」上に個人情報抜き取るチャットアプリ

マカフィーは、電話番号を窃取するために作成されたと見られるチャットアプリ2種を「Google Play」上で確認しております。セキュリティ対策アプリの検出を逃れるためか、個人情報を抜き出すコードは、サーバ側に用意されていたようです。

問題のアプリは、Android向けに公開されていた「Machin Chat」「Real チャット掲示板」。いずれもすでにGoogle Play上からは削除されており、同社では「Android/ChatLeaker.A」として検出するよう対処したそうです。

いずれのアプリも、日本人向けに作成されたと見られ、無料で利用できるチャットアプリなどと説明が書かれていたようです。登録不要などと書かれていましたが、端末の電話番号を窃取する機能を備えていたとのことです。同社でアプリを試したところ、本来の機能であるチャット機能も利用できなかったそうです。

また従来の個人情報を盗むことを目的とした不正アプリと構造が異なり、今回見つかったアプリでは情報を盗み出す機能を「APKファイル」内に実装するのではなく、「WebView」の脆弱性を利用していたようです。外部のサーバへアクセスした際に、サーバ側のJavaScriptにより抜き出す手法をとっています。

こうした実装方法では、セキュリティ対策アプリによる静的解析によって不正なコードを発見しにくいとマカフィーでは危険性を指摘しております。さらに、不正アプリの開発者以外が用意した不正サイトへアクセスした場合も、個人情報を抜き出されるおそれがあるようです。

今回見つかったアプリのダウンロード数は、数百回以下と回数は少ないものの、同社は同様の手法を利用したアプリが今後増加するおそれがあると指摘しております。

様々なアプリケーションが開発され、何かと便利になってきておりますが、どのアプリケーションもインストールされる前に一度ほんとうにそのアプリケーションが安全なのか下調べする事を推奨いたします。

http://www.security-next.com/044724

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む