年末年始の慌しい中、喧騒に紛れてこっそり悪事を働くAndroidアプリがリリースされていることが明らかなった。
同アプリは、"気のきいた+優しい+面白いメッセージ" を知人に送れるようにすることを目的としており、インストールして実行することで、以下のような「新年の願いごと」や「友情」、「愛情」、「ジョーク」といった様々なカテゴリに分類されたテキストメッセージのリストが表示される。
ユーザがこれらのリストから一つを選択すると、ダイアログボックスが現れます。そこには、「連絡先」、「編集」、「キャンセル」という次の行動をユーザが選ぶよう求めるもので、試しに「連絡先」を選択すると、同アプリは保存されている連絡先データを読み込もうとします。解析当初、連絡先データにアクセスするのは、メッセージを誰に送るのかを知る必要があるのだろうと思われていた。
しかし、実際はテキストメッセージを送ることはなく、ユーザは「送信失敗」というダイアログボックスが出るだけだっのた。
エフセキュアのセキュリティ研究所の解析担当者が解析を進めるうちに、同アプリが何か別のことをしていることが判明。
なんと、「連絡先」を選択すると、端末のモデル、Android OSのバージョン、電話番号、IMEI番号(国際移動体装置識別番号)などの情報をこっそりと端末から盗み出していたのだ。
信用のできないアプリを不用意にダウンロードしちゃうと痛い目にあう確率は今後も高そうですね。
ただでさえ、スマホのセキュリティがちゃんとできているのか怪しいところなのに。