WirelessWire News The Technology and Ecosystem of the IoT.

by Category

「無料アプリにご用心」アップ・ゲノム・プロジェクトで分かった情報漏えいのリスク(追記あり)

2010.07.30

Updated by WirelessWire News編集部 on 7月 30, 2010, 12:12 pm JST

Introducing the App Genome Project | The Official Lookout Blog
201007301212-1.jpg

スマートフォンのセキュリティ関連ソフトウェア開発会社である米ルックアウト(Lookout)社が、iPhoneやAndroidの大量のアプリケーションを調査し、セキュリティ上の課題を明らかにする努力を続けている。「アップ・ゲノム・プロジェクト(App Genome Project)と名づけられた調査の対象は30万本で、すでに10万本の「ゲノム解読」が終わっているとのこと。スキャンするための自動ツールを持っているようだ。

2007年設立で社員25人のルックアウト社(本社はサンフランシスコ)は、Android用のアンチウィルスとバックアップに、GPSによる場所特定まで兼ね備えた無料の「Lookout Mobile Security FREE」などを開発している。端末を紛失したら、パソコンのブラウザで位置を調べることができるというアプリケーションで、「Scream」をクリックするとAndroid端末が音を出し、発見を助けてくれるという。

同社によると、ある壁紙(ウォールペーパー)アプリはスマートフォンから個人情報を集めて、中国のどこかのIPアドレスに向けて送信する機能を持っていたし、別のアプリは勝手にソマリアに国際電話をかける仕掛けが埋め込まれていたという。

Androidそのものにも、「モバイル・データ・リーケイジ(Mobile Data Leakage)」という脆弱性があることが分かった。開発者がアプリケーションのログにうっかり重要な情報を入れてしまうと、他のアプリケーションが簡単にアクセスできてしまうというもので、ルックアウト社は米グーグル(Google)と共同で対策を講じたとのこと。

情報漏えいにつながるようなアプリケーションは、必ずしも悪意で開発されているとは限らず、開発者側の不注意によるものが多いそうだ。例えば、金融機関のシティグループ(Citigroup)は26日に同社のiPhoneアプリである「Citi Mobile」に個人情報を隠しファイルに格納してしまう「バグ」が見つかったと発表している。

調査対象となったAndroidアプリケーションの29%、iPhoneアプリの33%が、ユーザの位置情報にアクセスすることができた。Androidの8%、iPhoneの14%がユーザのコンタクト情報にアクセスできた。また、広告や分析のために使われるサードパーティのコードは広く採用されていて、Androidアプリケーションの47%、iPhoneアプリの23%が使っているが、このコードはユーザや開発者に見えない形で個人情報を扱っているという。

ルックアウト社のプレスリリースには、同社CTOのKevin Mahaffey氏の「個人のデータに簡単にアクセスできるアプリケーションが、モバイル・アプリケーションの可能性を拡げたが、同時に開発者と利用者の双方に対して、大きな責任を負わせることになった」という言葉が引用されている。

※8/5 17:00追記
Googleは壁紙アプリケーションを精査し、8月4日になって同アプリケーションには疑わしいコードは含まれていないと言明し、Android Marketでのダウンロードも再開した模様。
(参考:Google declares suspicious Android wallpaper apps safe, lifts ban

【参照情報】
Lookout社のプレスリリース
Lookout Mobile Security(Androidアプリ)
Security Researchers Catalog Mobile Vulnerabilities - NYTimes.com
Your mobile app is spying on you - VentureBeat
App Genome Project eyes iPhone, Android security -Cnet.com
Citi Discovers Security Flaw in iPhone Application - NYTimes.com

WirelessWire Weekly

おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)

登録はこちら