Malwarebytesは4月12日(米国時間)、「Apps removed from Google Play for harvesting user data|Malwarebytes Labs」において、ユーザーデータを収集するコードを含んでいた複数のAndroidアプリをGoogleがPlayストアから削除したと伝えた。問題のコードは特定のSDK(ソフトウェア開発キット)に含まれており、このSDKを利用して作成されたアプリが不正にユーザーデータを収集する処理を実行していた形跡があるという。

  • Apps removed from Google Play for harvesting user data|Malwarebytes Labs

    Apps removed from Google Play for harvesting user data|Malwarebytes Labs

問題のSDKには、クリップボードデータやデバイスの正確な位置情報、ユーザーの電話番号、電子メールアドレス、および近くのデバイスの情報などを収集するコードが含まれていた。このSDKを利用していたのは、カメラアプリやQRコードリーダー、天気や時計のウィジェット、PCマウスアプリなど多岐にわたり、合計で1,000万回以上ダウンロードされているとのこと。問題のコードはSDKのみに含まれており、影響を受けたアプリ同士には特別な関連性はないとされている。

Malwarebytesによれば、Googleはアプリ開発者に対し、問題のSDKが削除されていることを条件にしてアプリをPlayストアに復活させるチャンスを与えたという。現時点では、すでに大半のアプリがアップデートを終えて復活していると伝えられている。

具体的にどのアプリが問題のSDKを含んでいたのかは明らかにされていない。しかし、Googleが影響範囲を適切に把握できていると信じるのならば、被害を回避する最も確実な方法は、Playストア経由でアプリを最新版にアップデートすることだろう。