数百万のスマートフォンアプリで個人情報が「垂れ流し」になっていることが判明

by Evan Kirby

数百万ものスマートフォンアプリが、ユーザーの氏名・年齢・年収・電話番号・メールアドレスといった個人情報を暗号化せず「垂れ流し」にしている状態であることが明らかになりました。マルウェアなどを用いて情報が収集され悪用されるおそれがあることから、研究者が注意を呼びかけています。

Millions of Apps Leak Private User Data Via Leaky Ad SDKs | Threatpost | The first stop for security news
https://threatpost.com/millions-of-apps-leak-private-user-data-via-leaky-ad-sdks/131251/

この事実は、カスペルスキー研究所のロマン・ユヌチェク氏がセキュリティ関連情報を扱うRSAカンファレンスで語ったものです。

ユヌチェク氏によると、問題なのはアプリそのものではなく、人気の広告ネットワークで使用されているサードパーティー製SDKのソースコードにあるとのこと。実際に、ユヌチェク氏は広告出稿サーバーから送信されてくる暗号化されていないJSONファイルを傍受し、中に端末情報、ユーザー名、ユーザーの誕生日、GPS情報が含まれていたことを確認しています。

中には「悪意あるアプリ」も存在し、ユーザー名等の情報だけではなくSMSの中身や発着信履歴、連絡先など、より重要性の高い情報を盗み出しては、他に転用したり売却したりしているとのこと。

ユヌチェク氏からのアドバイスは、アプリをインストールしたときにどれぐらいの権限を求められるのかをよく確認すること、そしてできればVPNを使うこと、だそうです。