マカフィーは28日、Android端末内のGmailメールアドレスやFacebookアカウントID(ログイン用メールアドレス)、TwitterアカウントIDなどについて、利用者に気付かれずに収集する不審なアプリをGoogle Playで確認したと公式ブログ「McAfee Blog」で注意喚起した。
|
Gmail, Facebook, TwitterのアカウントIDを収集するAndroidアプリ(McAfee blogより)。3月31日に編集部が確認したところ、該当アプリはGoogle Play上で未だ公開されている |
不審なアプリは、YouTube上のセクシー動画へのリンクをユーザーに提供する動画閲覧アプリとして公開されている。しかしアプリ起動時に、端末に登録されているGoogleアカウントID、FacebookアカウントID、TwitterアカウントID、および端末の国・言語といった、動作に不要な情報が無断でアプリ開発者の外部サーバへ送信されるという。
ユーザーのアカウント情報を収集するAndroidアプリは、インストール時に「端末上のアカウントを検索」(GET_ACCOUNTS)権限を許可すると、APIを利用して端末に登録しているサービスのアカウント情報を取得できてしまう。同社はアプリが「端末上のアカウントを検索」権限を要求してきた場合、アプリ提供元の確認を行うほか、SNSのプライバシー設定でメールアドレスによる検索を有効化しないなどの対策を推奨している。
|
「端末上のアカウント検索」権限の要求と、アカウント情報取得可能なサービスの例(McAfee blogより) |
