国内向けAndroidアプリが個人情報/アドレス帳情報を搾取していた！

またこの手のネタか･･･という感じですが（;￣ー￣A
今回は有名なゲームや一般的に興味をそそりそうな内容の動画再生アプリを装って、個人情報・アドレス帳データを搾取しているアプリが複数発見されました。

• スマホアプリ 情報大量漏洩か - NHK NEWS
• Androidの「the Movie」アプリで数万件～数百万件の個人情報が大量流出した可能性あり - GIGAZINE

GIGAZINEではことの経緯を詳しく載せてくれています。

今回、”連絡先データの読み取り”と”端末のステータスとIDの読み取り”の権限を悪用していたアプリは以下の通りです。

• ディベロッパー：tsunakan
  けいおん-K-ON！動画
  うまい棒をつくろう！ the Movie
  連打の達人 the Movie
  チャリ走 - the Movie
  ぴよ盛り the Movie
  空手チョップ！ the Movie
  魔界村騎士列伝 the Movie
  3D視力回復 the Movie
  ギャングハウンド the Movie
• ディベロッパー：hamunaruka
  大盛モモ太郎 the Movie
  ウォーリーを探 the Movie
  桃太郎電鉄 the Movie
  メガ盛りポテト the Movie
  FC2動画まとめ the Movie
  スヌーピーストリート the Movie
  スク水動画まとめ

全16タイトルです。

ディベロッパーは2人ですが、データの送信先が同じサーバーだったようです。

実際に搾取されていた情報は、Android ID、電話番号、メールアドレス、アドレス帳にある携帯番号とメールアドレス全てだそうです。

これでは自身がきちんと管理していても、知人がインストールしていたらアウトですねorz

現在はサーバーもストップしていて、Google Play（マーケット）からも削除されているようですが、マルウェアスキャナー（Bouncer）は何をしていたのでしょうか･･･

→Androidマーケットにマルウェアスキャン機能が導入された！参照

また、6万人以上がインストールしたということは、恐らくセキュリティアプリも感知できなかったのでしょう。

やはり、こうなってくると、マーケットの駆除機能やセキュリティアプリのスキャン機能に頼っているだけではダメですね。

一人ひとりがそのアプリをきちんと見極めて、”このアプリを利用しないといけないか？”と考えなければいけません。

今回の場合なら、動画を視聴するだけのアプリに”連絡先データの読み取り”権限がついていることを不審に感じるべきですし、「動画を見るだけならYouTubeで検索しよう」とインストールせずにいるべきです。

アプリを見極める方法として、過去にエントリにて紹介していますので、こちらも参考にしてみてください。

• Security - 過去にBlogで取り上げたセキュリティ関連のエントリまとめです
• Androidで、個人情報をいかにして守るか･･･
• Androidにおける危険なアプリの見分け方。