更新情報:マカフィーは2013年12年5日、指摘した箇所を開発元が修正し、Google Play上で再公開されたため、McAfee Mobile Securityの検出対象から除外したと発表した。
マカフィーは、日本のユーザーを狙った、電話番号を密かに盗むAndroidチャットアプリをGoogle Playで発見。公式ブログで公表し、注意を呼び掛けている。
不審なチャットアプリの提供元は「YUMAKICHI DRIVE,INC.」。Google Play上のアプリ説明ページでは「登録不要」と「無料」と明記されており、アプリ側があたかもユーザー情報を取得しないかのように思わせている。
しかし、マカフィーによると、このチャットアプリはユーザーがチャットサービスに接続する際に端末の電話番号を取得し、ユーザーへの事前通知および承諾確認を行わずに密かに開発者が管理するウェブサーバーへ送信しているという。電話番号は送信前に暗号化されているが、暗号化に使用された共通の秘密鍵をアプリ開発者が保持しているため、受信したサーバー側で復号化できることは明らかだ。
このアプリ開発者が収集した電話番号リストを実際に悪用しているかどうかは不明だが、前述の不審な点が改善されない限り、ダウンロードを控えるのが得策だと考えられる。
関連サイト
■マカフィー公式ブログ