パーミッションを一切要求しないAndroidアプリがデータを外部に送信する可能性

Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっている。しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることをLeviathan Security Groupが指摘している(Leviathan Security Groupのブログ記事、CNN.comの記事)。

たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しない。そのため、暗号化されていない情報は任意のアプリで読み取れる。本体メモリーにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み取られる可能性がある。一方、アプリはURIを指定してWebブラウザーを起動できるが、こちらもパーミッションは要求されない。そのため、インターネットアクセスが許可されていないアプリであっても、URIにパラメーターとして指定することで、サーバーにデータを送信することが可能となる。

言われてみればそのとおりなのだが、こういった点はあまり気にされていなかったと思う。アドレス帳データをバックアップした場合のように、個人情報が暗号化されずにSDカードに保存されることも多いので注意が必要だ。Leviathan Security Groupでは実証に使ったAndroidアプリおよびプロジェクトファイルも公開しているので、興味のある方は確認してみるといいだろう。　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | Android | 情報漏洩

　関連ストーリー：
Google Playのマルウェア、数百万人分の個人情報を収集か 2012年04月17日
Google、Androidアプリのセキュリティスキャン実行へ 2012年02月05日
マルウェアを組み込んだアプリ、最大で500万人がAndroidマーケットからダウンロード した可能性 2012年01月29日
Carrier IQ 検出ツールに偽装したマルウェアが発見される 2012年01月13日
Google、不正アプリ27本をAndroidマーケットから削除 2011年12月17日
セキュリティ専門家、Androidへの新たな攻撃手段を発見 2011年08月15日
Androidのマルウェア、着々と進化中 2011年06月18日
Android アプリ用の広告ライブラリー内に、ユーザーの個人情報などを取得するコードが発見される 2011年04月13日
マルウェア「DroidDream」を含むアプリ、公式 Android Market で一時配布される 2011年03月07日
Androidを狙ったマルウェアが増加 2011年02月20日
Android、複数の人気アプリケーションで無断情報送信を確認 2010年10月03日