【中国】百度が作ったAndroidアプリ、ユーザーの重要情報を収集か [ばーど★]

【中国】百度が作ったAndroidアプリ、ユーザーの重要情報を収集か [ばーど★] at NEWSPLUS

1:ばーど ★
20/11/28 10:51:28.28 lmauAuCC9.net
中国のハイテク大手である「百度」によって作られた、2つのAndroidアプリ
ユーザーに関するセンシティブな情報を収集するコードが含まれていたという
Googleは報告を受けて調査し、アプリをGoogle Play上から削除している
中国製のAndroidアプリが重要なユーザー情報を収集していると研究者が報告、マルウェアによる悪用の危険性も
中国のハイテク大手である百度によって作られた2つのAndroidアプリに、ユーザーに関するセンシティブな情報を収集するコードが含まれていることが、カリフォルニア州サンタクララに本拠を置くサイバーセキュリティ企業・パロアルトネットワークスのグローバル脅威インテリジェンスチームである「Unit 42」のレポートで判明しました。Googleはこの報告を受けて調査を行い、2020年10月28日付で2つのアプリをGoogle Play上から削除しています。
モバイルアプリがデータを収集し、そのデータが外部に流出することはよくある問題ですが、漏えいしたデータはユーザーのプライバシーを侵害し、サイバー犯罪者の攻撃に利用されることもあります。Unit 42の研究者である Stefan Achleitner氏とChengcheng Xu氏は、機械学習ベースのスパイウェア検出システムを用いた調査を行い、重要なデータを漏えいする可能性がある複数のAndroidアプリがGoogle Play上にあることを突き止めたとのこと。
研究者らが報告したデータを流出させる危険があるAndroidアプリには、百度製の検索アプリであるBaidu Search Boxや地図アプリのBaidu Mapsが含まれていました。これらのアプリは合計で600万回以上もダウンロードされており、中にはユーザーが端末を変更しても追跡し続けられる重要な情報も、アプリによって収集されていたと報告されています。
Androidアプリが収集することが多い情報として、「携帯電話のモデル」「画面解像度」「携帯電話のMACアドレス」「通信キャリア」「ネットワーク(Wi-F、2G、3G、4G、5G)」「Android ID」「International Mobile Subscriber Identity(IMSI)」「International Mobile Equipment Identity(IMEI)」などがあります。
このうち、画面解像度などはサイバー犯罪者に知られてもほぼ無害ですが、携帯電話ユーザーに割り当てられる一意の識別番号であるIMSIや、携帯電話や衛星電話に割り当てられる識別番号のIMEIなどはさまざまな使い道があります。
たとえば一般的にSIMカードに関連付けられているIMSIを使えば、端末を変えて電話番号を再取得した場合でもユーザーを識別・追跡することが可能となります。また、IMEIを利用すればプロバイダーに「電話が盗まれた」と報告し、携帯電話を無効化してネットワークへのアクセスをブロックさせることができます。これらの情報はサイバー犯罪者にとって利益が大きいため、さまざまな手法で盗み出そうとしているとのこと。
GoogleがAndroidアプリ開発者向けに記した「一意の識別子に関するベストプラクティス」でも、IMSIやIMEIといった一意の識別子の機密性について強調されており、識別子が必要な場合は別のものを利用するように推奨されています。
以下ソース先で
2020年11月25日 12時0分
URLﾘﾝｸ(news.livedoor.com)

レスを読む