ゼロからはじめる スマートフォン最新アプリ Android対応 2014年版 新品価格 |
アップルのように厳しい審査をしてアプリ登録するシステムも必要ではないか?
Googleはこうした本来のITで対応すべきところに手薄な気がする。
自由はよいのだが、悪人が入ってくるのを防ぐことも重要だろう。
問題ありのアプリは38種類もある。
Yahooより。
http://headlines.yahoo.co.jp/hl?a=20131217-00000121-impress-sci
謎の目的でGoogleアカウントIDを密かに外部送信するAndroidアプリ、38種確認
Impress Watch 12月17日(火)20時0分配信
Android端末のGoogleアカウントIDを密かに外部送信する日本語アプリが、Google Play上に多数存在していることを、マカフィー株式会社が同社公式ブログで明らかにした。パスワードが収集されるわけではないが、多くのAndroidユーザーの場合、GoogleアカウントIDはGmailアドレスとなっており、アカウントIDだけでもセキュリティリスクやプライバシーリスクがあるとして注意を呼び掛けている。
占い系と出会い系の2つのアプリにおいて、アプリ起動直後にGoogleアカウントIDを密かにウェブサーバーに送信しているという。これらのアプリのダウンロード数はそれぞれ1万〜5万回に上るとしている。
これとは別に、さまざまなカテゴリーにわたる36種類のアプリでは、アプリ起動直後、GoogleアカウントIDに加えて、端末識別番号のIMEIと加入者識別番号のIMSIも密かにウェブサーバーに送信するという。一部のアプリはかなり前に公開された形跡があるほか、外国語にも対応していることもあり、これらの合計ダウンロード数は少なくとも数百万回に上るとしている。なお、これらは複数の開発者名で公開されているアプリだが、データ送信の実装コードや送信先が同じであることから、同一の開発者か関連グループによるものと、マカフィーではみている。
マカフィーによると、「これらのアプリがなぜGoogleアカウントIDを密かに収集しているのか、どのように使用しているのか、どのように安全に管理しているのかは不明」。収集されたアカウントIDを利用した不正行為も今のところ確認していないというが、「どのような使用方法にせよ、これらのアプリはこの情報の自動収集の事実と利用目的について事前にユーザーに明示し、かつそれを拒否する機会をユーザーに与えるべき」と指摘している。
Androidアプリは、インストール時に「この端末上のアカウントの検索」(GET_ACCOUNTS)権限の許可を得てアカウントID情報を収集できるようになるが、この権限は、プッシュ通知のための標準的な機構「Google Cloud Messaging:GCM」をアプリが使うためにしばしば要求されるという。そのため、ユーザーにとっては、アプリがGCMを使うためにGET_ACCOUNTS権限を要求しているのか、悪意ある用途を含め、本当にアカウントIDを取得したいために要求しているのか見分けるのは困難だという。
なお、GET_ACCOUNTS権限が許可されても、前述のようにパスワードを取得することはできないが、アカウントIDの漏えいだけでも以下のようなリスクがあると、マカフィーでは説明。また、一般的に、このようなアカウントIDを不特定多数が閲覧可能な場所に公開することも、本当に必要な場合でない限り避けた方がいいとアドバイスしている。
【このカテゴリーの最新記事】
- no image
- no image
- no image
- no image
- no image
- no image
- no image
- no image
- no image
- no image
- no image
- no image
- no image
- no image
- no image
- no image
- no image
- no image
- no image
- no image