パーミッションを一切要求しないAndroidアプリがデータを外部に送信する可能性
2012年4月30日 15:20
Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっている。しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることをLeviathan Security Groupが指摘している(Leviathan Security Groupのブログ記事、CNN.comの記事)。
たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しない。そのため、暗号化されていない情報は任意のアプリで読み取れる。本体メモリーにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み取られる可能性がある。一方、アプリはURIを指定してWebブラウザーを起動できるが、こちらもパーミッションは要求されない。そのため、インターネットアクセスが許可されていないアプリであっても、URIにパラメーターとして指定することで、サーバーにデータを送信することが可能となる。
言われてみればそのとおりなのだが、こういった点はあまり気にされていなかったと思う。アドレス帳データをバックアップした場合のように、個人情報が暗号化されずにSDカードに保存されることも多いので注意が必要だ。Leviathan Security Groupでは実証に使ったAndroidアプリおよびプロジェクトファイルも公開しているので、興味のある方は確認してみるといいだろう。 スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | Android | 情報漏洩
関連ストーリー:
Google Playのマルウェア、数百万人分の個人情報を収集か 2012年04月17日
Google、Androidアプリのセキュリティスキャン実行へ 2012年02月05日
マルウェアを組み込んだアプリ、最大で500万人がAndroidマーケットからダウンロード した可能性 2012年01月29日
Carrier IQ 検出ツールに偽装したマルウェアが発見される 2012年01月13日
Google、不正アプリ27本をAndroidマーケットから削除 2011年12月17日
セキュリティ専門家、Androidへの新たな攻撃手段を発見 2011年08月15日
Androidのマルウェア、着々と進化中 2011年06月18日
Android アプリ用の広告ライブラリー内に、ユーザーの個人情報などを取得するコードが発見される 2011年04月13日
マルウェア「DroidDream」を含むアプリ、公式 Android Market で一時配布される 2011年03月07日
Androidを狙ったマルウェアが増加 2011年02月20日
Android、複数の人気アプリケーションで無断情報送信を確認 2010年10月03日