NewsNavi

Androidアプリの広告に潜むパーミッションの罠 【役立つセキュリティ】

広告 モジュール アプリ パーミッション Android ユーザ メイン 使用 インストール 悪意
Androidアプリケーションパッケージ(APK)はAndroid向けのアプリケーションを端末にインストールできる形式にパッケージにしたもので、複数のモジュールを含むことが可能です。

このようなモジュールは、広告用のソフトウェア開発キット(SDK)を含むことがあり、多くのAndroid開発者が自分達の製品を無料でユーザに提供するため、このような広告を含むモジュールを使用しています。

では、アプリ自体に問題がなくても、広告モジュールに悪意がある場合はどうでしょうか。

ユーザがメインのアプリに対してパーミッションを与えてインストールした場合(求められているパーミッションについて、良く理解しており、気にかけていると仮定)、ユーザは広告モジュールにも同じパーミッションを使用することを許可することになってしまいます。時折、このパーミッションはメインのアプリケーションではなく、広告モジュールによってのみ使用されることもあります。

現在、Androidアプリはメインのアプリが使用するパーミションと、広告モジュールが使用するパーミッションとを区別しておらず、セキュリティに関して言えば、ユーザとアナリストの双方にとって、違法か合法か微妙なラインとなっています。たとえば、以下は公式Android Marketからダウンロードされた、広告をサポートするアプリのパーミッション・タブのスクリーンショットです。ここには、パーミッションに関する非常に一般的な説明が書かれています。

android_market_permission_470px


メインのアプリと広告モジュールの双方が、どのようにパーミッションを利用したかをパーミッション・タブが示せば、ユーザにとってより分かりやすいのではないでしょうか。つまり、アプリをインストールする際に広告モジュール用のパーミッション・タブがあるとユーザに親切かもしれません。そうすれば、メインのアプリ+広告モジュールが何をするか、一目瞭然で、ユーザがそのアプリをインストールしたいかどうかを選びやすくなります。

つい先日、こうしたことを示す事例がありました。

メインのアプリ自身はクリーンだったものの、広告モジュールに問題があった「 Spyware:Android/AdBoo.A 」の事例です。このアプリは、ユーザの機密情報をこっそり収集し、リモートサーバに送信していたのです。

現在、大部分の広告サービスは、「ターゲットを絞った」精度の高い広告を提供するため、携帯電話からの若干の情報を必要としています。

このケースにおいて、同アプリに付随している広告モジュールが基本的にメインのホストアプリのパーミッションを共有していたため、広告モジュールをブロックし、メインのアプリの機能だけ利用することはできません。

広告モジュールとパーミッションを共有しているアプリがユーザによってパーミッションが与えられると、同広告モジュールはその次の行動に出ることができます。正規の広告を表示するだけなら、それで良いのですが、もしその広告モジュールが疑わしいプログラムを含むなら…

続きを読む

携帯電話の秘密の機能をアンロック!…しない。
昨日我々は、Android関連サイトから以下の広告を見つけた:これをクリックすると、悪意あるAndroid Marketに導かれた:ここで見つかったサンプルは、「Trojan:Android/FakeNotify.A」として検出されている。通常通り、他の悪意あるサイトはこの悪意あるAndroid Marketと同じIPアドレスで…
エフセキュア・コーポレーション by: セキュリティ研究所 (2012年1月10日)
続きを読む


Androidパーミッション:アプリのため?広告のため?

Androidアプリケーションパッケージ(APK)は複数のモジュールを含むことが可能だ。一つ以上のこうしたモジュールは、広告SDKかもしれない。現在、多くのAndroid開発者が無料で自分達の製品をユーザに提供するため、こうしたモジュールを使用しているため…
エフセキュア株式会社 by: セキュリティ研究所 (2012年1月10日)
続きを読む


コンピュータ・ウイルスの分析を学ぶ:5年目
5年目を迎えた現在、我々はフィンランド・ヘルシンキのAalto Universityと協力し、マルウェア(悪意あるソフトウェア)分析のコースを準備している。最初の講義は1月18日、主席研究員ミッコ・ヒッポネンが行う。あなたがAaltoで学んでいるなら、コースでお目にかかれたら嬉しく思う!脅威の様相について良くご存知なら…
エフセキュア・コーポレーション by: セキュリティ研究所 (2012年1月9日)
続きを読む


エフセキュアブログを読む
エフセキュア公式ページ

本当に役立つセキュリティの記事をもっとみる
スマホのデータをこっそり抜き取る怪しいアプリを発見
Androidを狙う課金型トロイの木馬
不要なJavaには別れを告げよう
大迷惑!Anonymousによる慈善活動
Facebookの新機能にトラブル?

エフセキュア インターネットセキュリティ 2012 3PC 3年版エフセキュア インターネットセキュリティ 2012 3PC 3年版
エフセキュア(2011-11-07)
販売元:Amazon.co.jp
クチコミを見る

共有する

関連記事

【アキバ物欲】″弘法は筆を選ぶ?″できるユーザーこそ、キーボードとマウスにこだわる

パソコンの一番身近な周辺機器といえば、キーボードとマウス。日常的に使うデバイスということもあり、こだわりを持っている人も多い。キーボードやマウスを購入する人は、製品のどこを見て購入を決めているのだろうか。また、キーボー…

【世界のモバイル】売れる海外ケータイの秘密!ユーザーニーズに対応できない日本

携帯電話の全世界マーケットにおける日本メーカーのシェアは「その他」に入れられてしまうほど低く、海外の調査会社によるマーケットシェアの結果に、単独メーカーの数字が出てくることもここ数年は無くなってしまった。SonyEricssonが…

【知っ得!虎の巻】クリックしたけど、なぜかリンクが開かない? 広告ブロックを使いこなせ!

Windows XPを利用しているユーザーなら、今はService Pack 2(以後SP2)が適用されているはず。SP2ではInternet Explorer 6(以後IE6)もSP2となっており、IE6にはポップアップブロック機能がある。これは、リンクをクリックしてリンク…

【知っ得!虎の巻】同じアプリケーションのグループ化を解除!タスクバーをわかりやすくしよう

アプリケーションを起動したり、フォルダを開いたりすると、デスクトップにウィンドウが開く。これらの起動しているウィンドウは、タスクバーにボタンとして表示され、現在起動しているウィンドウとしてタスクバー上で確認できるように…

【気になるトレンド用語】Eee PCって安いだけじゃない!ユーザー好みの使い勝手や改造も人気?

「199ドルノートPC」と呼ばれ、話題を集めているASUS社の“Eee PC”の第2弾が発表になりました。“Eee PC”は、第1弾の「Eee PC 4G-X」が日本でも発売されているので量販店などで見たことのある方も多いかと思います。日本語版の価格は4万98…