Androidアプリの広告に潜むパーミッションの罠 【役立つセキュリティ】
Androidアプリケーションパッケージ(APK)はAndroid向けのアプリケーションを端末にインストールできる形式にパッケージにしたもので、複数のモジュールを含むことが可能です。

このようなモジュールは、広告用のソフトウェア開発キット(SDK)を含むことがあり、多くのAndroid開発者が自分達の製品を無料でユーザに提供するため、このような広告を含むモジュールを使用しています。

では、アプリ自体に問題がなくても、広告モジュールに悪意がある場合はどうでしょうか。

ユーザがメインのアプリに対してパーミッションを与えてインストールした場合(求められているパーミッションについて、良く理解しており、気にかけていると仮定)、ユーザは広告モジュールにも同じパーミッションを使用することを許可することになってしまいます。時折、このパーミッションはメインのアプリケーションではなく、広告モジュールによってのみ使用されることもあります。

現在、Androidアプリはメインのアプリが使用するパーミションと、広告モジュールが使用するパーミッションとを区別しておらず、セキュリティに関して言えば、ユーザとアナリストの双方にとって、違法か合法か微妙なラインとなっています。たとえば、以下は公式Android Marketからダウンロードされた、広告をサポートするアプリのパーミッション・タブのスクリーンショットです。ここには、パーミッションに関する非常に一般的な説明が書かれています。

android_market_permission_470px


メインのアプリと広告モジュールの双方が、どのようにパーミッションを利用したかをパーミッション・タブが示せば、ユーザにとってより分かりやすいのではないでしょうか。つまり、アプリをインストールする際に広告モジュール用のパーミッション・タブがあるとユーザに親切かもしれません。そうすれば、メインのアプリ+広告モジュールが何をするか、一目瞭然で、ユーザがそのアプリをインストールしたいかどうかを選びやすくなります。

つい先日、こうしたことを示す事例がありました。

メインのアプリ自身はクリーンだったものの、広告モジュールに問題があった「 Spyware:Android/AdBoo.A 」の事例です。このアプリは、ユーザの機密情報をこっそり収集し、リモートサーバに送信していたのです。

現在、大部分の広告サービスは、「ターゲットを絞った」精度の高い広告を提供するため、携帯電話からの若干の情報を必要としています。

このケースにおいて、同アプリに付随している広告モジュールが基本的にメインのホストアプリのパーミッションを共有していたため、広告モジュールをブロックし、メインのアプリの機能だけ利用することはできません。

広告モジュールとパーミッションを共有しているアプリがユーザによってパーミッションが与えられると、同広告モジュールはその次の行動に出ることができます。正規の広告を表示するだけなら、それで良いのですが、もしその広告モジュールが疑わしいプログラムを含むなら…

続きを読む

携帯電話の秘密の機能をアンロック!…しない。
昨日我々は、Android関連サイトから以下の広告を見つけた:これをクリックすると、悪意あるAndroid Marketに導かれた:ここで見つかったサンプルは、「Trojan:Android/FakeNotify.A」として検出されている。通常通り、他の悪意あるサイトはこの悪意あるAndroid Marketと同じIPアドレスで…
エフセキュア・コーポレーション by: セキュリティ研究所 (2012年1月10日)
続きを読む


Androidパーミッション:アプリのため?広告のため?

Androidアプリケーションパッケージ(APK)は複数のモジュールを含むことが可能だ。一つ以上のこうしたモジュールは、広告SDKかもしれない。現在、多くのAndroid開発者が無料で自分達の製品をユーザに提供するため、こうしたモジュールを使用しているため…
エフセキュア株式会社 by: セキュリティ研究所 (2012年1月10日)
続きを読む


コンピュータ・ウイルスの分析を学ぶ:5年目
5年目を迎えた現在、我々はフィンランド・ヘルシンキのAalto Universityと協力し、マルウェア(悪意あるソフトウェア)分析のコースを準備している。最初の講義は1月18日、主席研究員ミッコ・ヒッポネンが行う。あなたがAaltoで学んでいるなら、コースでお目にかかれたら嬉しく思う!脅威の様相について良くご存知なら…
エフセキュア・コーポレーション by: セキュリティ研究所 (2012年1月9日)
続きを読む


エフセキュアブログを読む
エフセキュア公式ページ

本当に役立つセキュリティの記事をもっとみる
スマホのデータをこっそり抜き取る怪しいアプリを発見
Androidを狙う課金型トロイの木馬
不要なJavaには別れを告げよう
大迷惑!Anonymousによる慈善活動
Facebookの新機能にトラブル?

エフセキュア インターネットセキュリティ 2012 3PC 3年版エフセキュア インターネットセキュリティ 2012 3PC 3年版
エフセキュア(2011-11-07)
販売元:Amazon.co.jp
クチコミを見る