セクシー動画でユーザーを誘いSNSアカウントを密かに収集、不審アプリに注意

　マカフィー株式会社は28日、GmailやFacebook、Twitterのアカウントを密かに収集するAndroidアプリをGoogle Play上で確認したとして、ユーザーに注意を呼び掛けた。

　確認されたアプリは、YouTube上のいくつかのセクシーな動画へのリンクを提供するだけのものだが、アプリ起動時には端末に登録されているGoogleアカウントID（多くの場合はGmailアドレス）、FacebookアカウントID（ログイン用メールアドレス）、TwitterアカウントID、端末の国や言語といった情報を、アプリ開発者の外部サーバーに送信する。

Gmail、Facebook、TwitterのアカウントIDを収集するアプリ

　マカフィーでは、これらの情報はアプリの動作にはまったく無関係であるため、不正な情報収集が目的だと考えられると分析。複数のサービスのユーザーアカウントが関連付けられて収集されるため、後で悪用、転売される可能性があると指摘している。アプリは約1000～5000件のダウンロードが確認されている。

　マカフィーでは、アプリのインストール時に「端末上のアカウントを検索（GET_ACCOUNTS）」の権限を許可した場合、アプリはさまざまなサービスのアカウント情報（パスワードは除く）を取得することが可能になり、スパムやフィッシングなどに悪用される可能性があると指摘。アプリがこの権限を要求してきた場合は、信頼できる開発会社が提供しているものかを注意して確認するよう呼び掛けている。

　また、SNSなどのサービスのプライバシー設定では、「メールアドレスによる検索を許可」といった項目を不必要に有効化しないことを推奨するとしている。

「端末上のアカウント検索」権限の要求と、アカウント情報取得可能なサービスの例