大手通販アプリにユーザーを監視するマルウェアが仕込まれていた疑いでGoogleがアプリの配信を停止

中国のセキュリティ研究者が、Android向け公式アプリにユーザーを監視する目的で設計されたマルウェアが含まれているとして、大手eコマースサービスの拼多多(Pinduoduo)を非難しました。これを受けて、Googleは拼多多の公式アプリをマルウェアとしてフラグ付けした上で配信を停止し、既にインストールしたユーザーに対して警告を行っています。

Google flags apps made by popular Chinese e-commerce giant as malware | TechCrunch
https://techcrunch.com/2023/03/20/google-flags-apps-made-by-popular-chinese-e-commerce-giant-as-malware/

拼多多は農家から仕入れた農産物をスマートフォンアプリを介して通信販売するeコマースサービスです。中国の消費者は近年食品の品質を強く意識しており、拼多多は大ヒット。2018年における拼多多の年間収益は19億ドル(約2500億円)だったのが、2022年には189億ドル(約2兆5000億円)に増加するなど、急激な成長を見せています。

しかし、拼多多のAndroid向けアプリに問題があるという告発が、匿名のセキュリティ研究者によってGitHubに投稿されました。この指摘によると、バージョン6.49以前の拼多多公式アプリには、さまざまなAndroidスマートフォンで権限昇格の脆弱性を利用して、ユーザーのスマートフォンでのアプリ使用記録やアプリ通知を読み取るコードが埋め込まれていたとのこと。GitHubの投稿によれば、拼多多は弁護士を通じて投稿を削除するように申し入れているそうです。

GitHub - davinci1010/pinduoduo_backdoor: 拼多多apk内嵌提权代码，及动态下发dex分析
https://github.com/davinci1010/pinduoduo_backdoor

GitHub - davinci1012/pinduoduo_backdoor_unpacker: Samples and Unpacker of malicious backdoors and exploits developed and used by Pinduoduo
https://github.com/davinci1012/pinduoduo_backdoor_unpacker

GitHubに告発を行ったセキュリティ研究者はIT系ニュースサイトのTechCrunchに対して「アプリがユーザーをハッキングするためにいくつかのゼロデイエクスプロイトを悪用することもわかりました」と述べ、拼多多公式アプリの使用をやめるよう訴えています。

この告発を受けて、GoogleはAndroid向けの包括的なセキュリティサービスであるGoogle Play プロテクトを適用し、ユーザーが拼多多公式アプリをインストールできないようにすると同時に、既にインストール済みのユーザーに対してはアンインストールを促す警告を発しています。

実際にTechCrunchが拼多多公式アプリをGoogle Play ストアからインストールしたところ、以下の画面のように「Google Play プロテクトによってブロックされています」と表示されました。

Googleの広報担当者は、Googleが拼多多公式アプリの配信を停止したことについて、「アプリの調査を続ける間、セキュリティ上の懸念から拼多多公式アプリにGoogle Play プロテクトを適用しています」とコメントしています。

拼多多を運営するPDD Holdingsの広報担当者はTechCrunchに対して、公式アプリにマルウェアが含まれているという指摘を強く否定し、「Googleの声明は決定的なものではありません。Google Play ストアでは拼多多だけではなく他の企業のアプリも配信停止されており、TechCrunchが拼多多のアプリだけを指摘しているのは奇妙なことだと思います」と述べました。

なお、拼多多のメインユーザーの多くが居住する中国からは、Google Playストアを利用できません。セキュリティ研究者によると、拼多多の公式アプリはGoogle Play ストアだけではなく、Samsung・Huawei・Oppo・Xiaomiのアプリストアでも取り扱われているそうです。