マカフィーは、Android端末の電話番号を盗むAndroidチャットアプリがGoogle Play上で公開されていると警告した。
作成者は「Yumakichi Drive,INC.」となっており、アプリは次の2つ。
- 「完全無料 ランダムチャット (国産)~MachinChat~」(11月6日公開)
- 「無料ランダムチャット ┃ 登録不要のON-LINE掲示板~」(11月19日公開)
このチャットアプリは、ユーザーがチャットサービスに接続する際に端末の電話番号を取得し、ユーザーへの事前通知および承諾確認を行わずに密かに開発者が管理するWebサーバーへ送信しています。
電話番号は送信前に暗号化されていますが、暗号化に使用された共通の秘密鍵をアプリ開発者が保持しているため、受信したサーバー側で復号化できることは明らかです。<引用:McAfee Blog>
<出典:McAfee Blog>
Android公式アプリサイト「Google Play」で公開
不思議な事にこのアプリは、Googleのセキュリティチェックを通過して、公式サイト「Google Play」で公開されているという点だ。
今回のアプリの場合、「個人情報を収集し外部サーバーに送信する機能」はアプリ内部ではなく、サーバーサイドのHTML/JavaScriptコードで実装されているようだ。
つまり、アプリを使用するときに初めて実行され、問題のある機能は外部サイトにあるため、修正や削除も容易であると考えられます。
