2022年04月07日 11時32分 セキュリティ

Google Playで数十件のAndroidアプリがユーザーの情報をこっそり外部に送信していたことが発覚して削除される



Googleが、データを密かに収集するコードが含まれていたとして、Google Playストアから数十件のアプリを削除しました。問題となったコードを書いたパナマの企業・Measurement Systemsは、アメリカの防衛関連企業とつながっていると報じられています。



Google Bans Apps With Hidden Data-Harvesting Software - WSJ

https://www.wsj.com/articles/apps-with-hidden-data-harvesting-software-are-banned-by-google-11649261181



The Curious Case of Coulus Coelib – The AppCensus Blog

https://blog.appcensus.io/2022/04/06/the-curious-case-of-coulus-coelib/



Google bans Android apps that were harvesting user data - Protocol

https://www.protocol.com/bulletins/google-android-apps-data-harvesting



モバイルアプリのセキュリティを調査するAppCensusのブログによれば、PCのリモートコントロールアプリの脆弱(ぜいじゃく)性を探す監査業務の過程で、なぜかルーターのMCアドレスやスマートフォンのクリップボードの内容、GPSによる位置情報、メールアドレスといった情報をアプリで実行されているソフトウェア開発キット(SDK)がこっそりと共有していたことがわかったとのこと。





共有データは「mobile.measurelib.com」というドメインに送信されていたとのこと。AppCensusはこの「mobile.measurelib.com」と通信を行うアプリを11種類特定しています。問題となったアプリには、コーランを唱えてくれるイスラム教徒向けアプリや、スピード取締装置の検出アプリ、QRコード読み取りアプリなどが含まれていました。共通点は、Measurement Systemsの開発するSDKの特定バージョンを使っていることでした。



最近のAndroid向けアプリには、Measurement Systemsのようなあまり知られていない企業が開発したSDKが含まれていることが多いようで、カリフォルニア大学バークレー校の研究者であるサージ・エゲルマン氏は「モバイルアプリに含まれるSDKには、ろくに監査されておらず、理解されていないものも多い」と指摘しています。これは、アプリ開発者にとっては、SDKをアプリに挿入することで収入源になるほか、ユーザーベースの詳細なデータも得られるからだそうです。





そして、Measurement Systemsの公式サイトである「measurementsys.com」のドメインは、アメリカ・バージニア州に拠点を置くVOSTROM Holdingsという会社によって登録されていることがわかりました。ウォール・ストリート・ジャーナルによれば、VOSTROM Holdingsは、子会社のPacket Forensicsを通じ、連邦政府機関のためにサイバーインテリジェンス、ネットワーク防御、情報傍受の業務を請け負っているとのこと。



Measurement SystemsとVOSTROM Holdingsのつながりについて、ウォール・ストリート・ジャーナルがMeasurement Systemsに尋ねたとkろ、「会社の活動に関するご指摘は誤りです。当社とアメリカの防衛関連企業との間につながりはなく、VOSTROM Holdingsという会社について知っているわけでもない。また、Packet Forensicsとは何か、当社とどのような関係があるのかも不明です」とコメントしたそうです。



SDKによるデータ送信の問題は、2021年12月にGoogleに報告されました。Googleの広報担当者であるスコット・ウェストーバー氏は「Googleの規則から外れる形でユーザーのデータを収集しているとして、2022年3月25日就けで問題となるアプリをGoogle Playストアから削除しました」と述べています。ウェストーバー氏は含まれているSDKを削除すればアプリの再掲載を認めることも明らかにしており、すでにGoogle Playストアでの配布を再開しているアプリもあります。



なお、AppCensusによれば、調査結果を公表した直後にSDKはユーザーのデータ収集を停止したことが確認されたそうです。