確認を省略して他のアプリを自動インストール、危険なAndroidアプリに注意

　マカフィー株式会社は4日、危険なAndroidアプリについて注意を喚起した。動画を見るには指定した他のアプリのインストールが必要だとして、Google Playから他のアプリを権限の確認などを省略して自動的にインストールするアプリが見つかったという。

確認されたアプリ

　マカフィーによると、このアプリはアダルト動画の視聴アプリで、指定した10個以上のアプリの中から最低5個のアプリをインストールすることと引き換えに、動画が視聴できるようになっている。マカフィーが確認した時点では、指定されたアプリの中にマルウェアや不審なアプリは含まれておらず、アプリのインストールによるアフィリエイト報酬が目的だと思われるとしている。

　ただし、こうした行為は興味もないアプリをインストールさせるという点で、広告主を欺いている可能性があると指摘。アプリの一覧は外部のサーバーで管理されているため、マルウェアや不審なアプリを後から混入させる可能性も否定できないとしている。なお、このアプリは既にGoogle Playから削除されているという。

アダルト動画の視聴条件としてアプリのインストールを指示

　このアプリでは、ユーザーが動画ダウンロードを試みると、端末上のGoogleアカウントについて「SID」「LSID」という2つの権限を要求し、これを許可するとアプリはGoogle Playを含む各種のGoogleのサービスにアクセスが可能になる。さらに、アプリはGoogle Playのウェブサーバーと非公式な方式でのHTTP通信を行い、Google Playから任意の無料アプリを直接ダウンロードおよびインストールするためのトークンを取得し、アプリの自動インストール処理を開始する。

　ユーザーが自分でGoogle Playからアプリをインストールする通常の手順と異なり、この自動インストールではアプリの説明表示や権限要求の確認と許可・拒否を行う機会がユーザーに与えられない。

実行時にGoogleアカウントのSIDとLSIDの権限を要求する

選択したアプリがGoogle Playから自動的にインストールされる

　マカフィーでは、こうしたアプリの自動インストール処理が、悪意あるアプリ開発者に悪用されると恐ろしい結果を招くことは明らかだと指摘。アプリのインストール時に「端末でアカウントを検索」「端末上のアカウントを使用」という権限要求を受け入れると、Googleアカウントにかかわる大きな権限をアプリに与えることになるとして、これらの権限がインストール時に要求されたり、実行時にGoogleアカウントにかかわる権限（このアプリの場合はSIDとLSID）が要求された際には、そのアプリが本当に信頼に値するものかを慎重に再確認すべきだとしている。

「端末でアカウントを検索」「端末植のアカウントを使用」の権限要求