マカフィーは17日、GoogleアカウントIDをひそかに収集する多数の不審なアプリが存在しているとして、同社の公式ブログ上で注意を呼びかけた。パスワードではなく、Googleアカウントの流出でもいくつかのリスクがあるとしている。
同社ブログによると、アプリ起動直後に端末のGoogleアカウントIDを取得し、外部のウェブサーバーに送信する2つのAndroidアプリが存在すると指摘。ひとつは占いアプリで、もうひとつは出会い系アプリ。ダウンロード数は各10,000から50,000に上るという。
密かにGoogleアカウントIDを盗む2つのアプリ |
別の30種以上のアプリでは、アプリ起動直後に端末のGoogleアカウントID、IMEI、IMSIを取得し、ユーザーに知られることなく、特定のウェブサーバーに送信しており、アプリのジャンルや開発社名が異なるが、データ送信の実装コードや送信先が共通していた。このため、実際には同じ開発者か関連グループによるものだと推測している。アプリのダウンロード回数は合計で数百万以上に上るとみている。
同社ではこれらのアプリで収集したGoogleアカウントIDを利用した不正行為は今のところ確認できていないが、リスク自体は以下のようなことが考えられるとしている。
アカウントIDが他の悪意ある人物と共有されたりメールアドレス収集業者に販売されたりする
アカウントID(メールアドレス)宛にスパムや詐欺メールが送信される
ユーザーが弱いアカウントパスワードを設定していた場合、パスワードを見破られアカウントに不正アクセスされる
アカウントIDを使用してユーザー登録を行ったSNS(例えば、Google+)やコミュニケーションサービス上での個人情報が特定される
上記のようなことから、同社では、情報の自動収集の事実と利用目的については事前にユーザーに明示し、それを拒否する機会をユーザーに当たるべきだと主張している。
なお、上記のリスクはMcAfee Mobile Securityで検出可能。
(記事提供: AndroWire編集部)