電話番号を無断で盗むチャットアプリをGoogle Playで検出、マカフィーが警告

　マカフィー株式会社は22日、日本のユーザーを狙った、Android端末の電話番号を密かに盗むチャットアプリをGoogle Playで発見したとして、公式ブログで注意を呼び掛けた。

　マカフィーによると、これらのアプリは「Machin Chat」「Real -チャット掲示板-」といった名称でGoogle Play上で公開されていた。マカフィーではこれらのアプリを「Android/ChatLeaker.A」として検出に対応する。

日本のGoogle Playで公開されていた2つの不審なチャットアプリ

　アプリの説明ページでは、アプリが「登録不要」かつ無料で使用できることを協調し、あたかもユーザー情報を取得しないかのように思わせているにも関わらず、実際にはアプリがチャットサービスへの接続時に端末の電話番号を取得し、ユーザーへの事前通知および許諾確認を行わずに、密かに外部に送信していたという。

アプリ説明ページでは「登録不要」をアピール

　電話番号は送信前に暗号化されているが、暗号化に使用された共通の秘密鍵をアプリ開発者が保持しているため、受信したサーバー側で復号化できることは明らかだとしている。

　マカフィーでは、このアプリ開発者が収集した電話番号を実際に悪用しているかは不明だが、電話番号のようなユーザーの機密情報を事前承諾なしに勝手に収集することは大きな問題だと説明。開発者は意図的にユーザーを騙しているか、少なくとも誤解を招く説明をしており、しかもこのチャットサービス自体が試した範囲では一度もチャット接続に成功したことがなく、実際に機能するのかも不明だという。

　なお、これらのアプリのダウンロード数は、現在のところ数百回以下であることがわかっている。

ユーザーが接続しようとすると電話番号が勝手に送信される

　また、今回のアプリはユーザーの個人情報を盗む多くのマルウェアとは異なり、情報漏えいコードがサーバーサイドのHTML/JavaScriptで実装されている点が特徴で、アプリ内に埋め込まれたコードよりも解析や検出が困難だとしている。

　マカフィーでは、モバイル端末向けのアプリ開発言語として注目を浴び、またTizenやFirefox OSのような新しいウェブ技術ベースのモバイルプラットフォーム向けアプリ開発の主要言語として期待が高まるのに伴い、HTML/JavaScriptベースのモバイル脅威が近い将来さらに増加するリスクに備える必要があるとしている。

電話番号を取得するための独自JavaScriptオブジェクトを実装するJavaコード

独自オブジェクトにより電話番号を取得しサーバーに送信するJavaScriptコード