1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. アダルト動画と引き替えに別のアプリをインストールするAndroidアプリが確認される

アダルト動画と引き替えに別のアプリをインストールするAndroidアプリが確認される

アダルト動画と引き替えに別のアプリをインストールするAndroidアプリが確認されるセキュリティ対策企業のマカフィー社は、3月4日、ブログの中で、アダルト動画と引き替えに、別のアプリを自動インストールさせる日本語のAndroidアプリが確認されたとして注意を呼びかけた。

これによると、当該アプリは公式マーケットである「Google Play」上で確認された(すでに削除されている)。外部サーバーによって指定された10個以上のアプリ一覧の中から最低5個のアプリを自動インストールすることと引き換えに、ユーザーがアダルト動画を視聴できるような内容であるという。

通常、ユーザーがアプリをダウンロード、インストールする際は、アプリの説明ページやプライバシーポリシー、アプリが要求する権限を確認、許可するといったいくつかのステップを経るが、今回確認された事例では、こうした重要な確認処理が省略され、ほぼ自動的に別のアプリがダウンロード、インストールされる仕組みだ。

同社によると、この仕組みは、ユーザーによる許可によって取得したGoogleアカウントの認可トークンと、それを用いて行われるGoogle PlayストアのWebサーバーとの非公式な方法での通信によって実現されているという。インストール時に、アプリ側が「端末でアカウントを検索(GET_ACCOUNTS)」「端末上のアカウントを使用(USE_CREDENTIALS)」という権限を要求し、ユーザー側でこれを許可することで可能となる。

「端末でアカウントを検索」「端末上のアカウントを使用」の権限要求画面
「端末でアカウントを検索」「端末上のアカウントを使用」の権限要求画面(マカフィー社のブログより転載)

また、アプリ起動時にGoogleアカウントに関わる権限(画像参照)が要求される場合にも注意が必要である。

今回のアプリが起動時に要求する「SID」「LSID」という2種類の権限
今回のアプリが起動時に要求する「SID」「LSID」という2種類の権限(マカフィー社のブログより転載)

これらの機能の使用を許可すると、Googleアカウント等を用いた処理に関わる大きな権限をアプリ側に与えることになる。今回の事例では、自動インストールされたアプリにマルウェアや悪意のあるアプリは含まれていなかったものの、今後、こうした仕組みを悪用して、マルウェアや悪意のあるアプリをユーザーにインストールさせるという可能性は否定できないと同社は指摘する。

被害防止のためには、アプリに対して権限を安易に与えないことが重要である。悪意のあるアプリに対し不注意に権限を与えると、端末とプライバシーにとって極めて大きな被害を受ける可能性があるとして、同社は注意を呼びかけている。

Google Playからアプリ自動インストールを行う危険な国内向けAndroidアプリ(McAfee Blog)
アダルト動画と引き換えに別アプリをインストール、危険なアプリ出現(ITpro)

関連キーワード:

Android

アプリ

ダウンロード

  • 2014年2月のIT総括
  • カテゴリートップへ
  • トレンドマイクロ社が電話によるフィッシング詐欺と個人情報漏えいの関連性について指摘