セキュリティ

Google Playで数十件のAndroidアプリがユーザーの情報をこっそり外部に送信していたことが発覚して削除される


Googleが、データを密かに収集するコードが含まれていたとして、Google Playストアから数十件のアプリを削除しました。問題となったコードを書いたパナマの企業・Measurement Systemsは、アメリカの防衛関連企業とつながっていると報じられています。

Google Bans Apps With Hidden Data-Harvesting Software - WSJ
https://www.wsj.com/articles/apps-with-hidden-data-harvesting-software-are-banned-by-google-11649261181

The Curious Case of Coulus Coelib – The AppCensus Blog
https://blog.appcensus.io/2022/04/06/the-curious-case-of-coulus-coelib/

Google bans Android apps that were harvesting user data - Protocol
https://www.protocol.com/bulletins/google-android-apps-data-harvesting

モバイルアプリのセキュリティを調査するAppCensusのブログによれば、PCのリモートコントロールアプリの脆弱(ぜいじゃく)性を探す監査業務の過程で、なぜかルーターのMCアドレスやスマートフォンのクリップボードの内容、GPSによる位置情報、メールアドレスといった情報をアプリで実行されているソフトウェア開発キット(SDK)がこっそりと共有していたことがわかったとのこと。


共有データは「mobile.measurelib.com」というドメインに送信されていたとのこと。AppCensusはこの「mobile.measurelib.com」と通信を行うアプリを11種類特定しています。問題となったアプリには、コーランを唱えてくれるイスラム教徒向けアプリや、スピード取締装置の検出アプリ、QRコード読み取りアプリなどが含まれていました。共通点は、Measurement Systemsの開発するSDKの特定バージョンを使っていることでした。

最近のAndroid向けアプリには、Measurement Systemsのようなあまり知られていない企業が開発したSDKが含まれていることが多いようで、カリフォルニア大学バークレー校の研究者であるサージ・エゲルマン氏は「モバイルアプリに含まれるSDKには、ろくに監査されておらず、理解されていないものも多い」と指摘しています。これは、アプリ開発者にとっては、SDKをアプリに挿入することで収入源になるほか、ユーザーベースの詳細なデータも得られるからだそうです。


そして、Measurement Systemsの公式サイトである「measurementsys.com」のドメインは、アメリカ・バージニア州に拠点を置くVOSTROM Holdingsという会社によって登録されていることがわかりました。ウォール・ストリート・ジャーナルによれば、VOSTROM Holdingsは、子会社のPacket Forensicsを通じ、連邦政府機関のためにサイバーインテリジェンス、ネットワーク防御、情報傍受の業務を請け負っているとのこと。

Measurement SystemsとVOSTROM Holdingsのつながりについて、ウォール・ストリート・ジャーナルがMeasurement Systemsに尋ねたところ、「会社の活動に関するご指摘は誤りです。当社とアメリカの防衛関連企業との間につながりはなく、VOSTROM Holdingsという会社について知っているわけでもない。また、Packet Forensicsとは何か、当社とどのような関係があるのかも不明です」とコメントしたそうです。

SDKによるデータ送信の問題は、2021年12月にGoogleに報告されました。Googleの広報担当者であるスコット・ウェストーバー氏は「Googleの規則から外れる形でユーザーのデータを収集しているとして、2022年3月25日付けで問題となるアプリをGoogle Playストアから削除しました」と述べています。ウェストーバー氏は含まれているSDKを削除すればアプリの再掲載を認めることも明らかにしており、すでにGoogle Playストアでの配布を再開しているアプリもあります。

なお、AppCensusによれば、調査結果を公表した直後にSDKはユーザーのデータ収集を停止したことが確認されたそうです。

この記事のタイトルとURLをコピーする

・関連記事
位置情報やSMSなど各種情報を抜き取ってロシアに送信するマルウェアが見つかる - GIGAZINE

AndroidスマホにプリインストールされているGoogle製アプリはユーザーの同意なしにGoogleへデータを送信している - GIGAZINE

10万ダウンロードされたAndroidアプリに個人情報を抜き取るマルウェアが仕込まれていると判明 - GIGAZINE

ハッカーがiPhoneユーザーに悪意あるアプリをインストールさせる手口とは? - GIGAZINE

Android端末のルート権限を一瞬で奪取するムービーが公開される、Linuxの脆弱性「Dirty Pipe」を用いた攻撃が現実的に - GIGAZINE

in モバイル,   ソフトウェア,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.