マルウェアの地雷原と化す、中国の非公式Androidアップストア

SHARE:

【翻訳 by Conyac】 【原文】

ある調査によれば、中国の数多くの非公式なAndroidアップストアは、配信するアプリケーションの基本的なセキュリティーチェックが十分でないことがわかった。そのため、これらのソースからダウンロードした国内の95パーセントのアンドロイド利用者が、マルウェアの危険にさらされていることにも言及した。

私はPennOlson 所属のAndroidギークとして、Googleの Android Market よりも、ダウンロードスピードが速くGoogle アカウントも必要としない、ローカライズ・ソース(中国の非公式アップストア)などの中国のトレンドを追ってきた。また、ウェブ大手の Tencent(騰訊)に始まり、このトレンドの中で居場所を見つけたい比較的小規模なスタートアップ企業に至るまで、中国では多くの選択肢が溢れかえっている。数ヶ月前、私は、 8つの非公式アンドロイドマーケットと言うリストを作成した。

しかし、データを盗み取ったり SMSやMMS サービスへの加入させて課金を発生させる、マルウェアの入ったアプリを、それらのアップストアが無意識のうちに配信していることを、今回の調査は示している。

どうやら2種類のトロイの木馬アプリがあるようだ。一つは、悪質な目的(例として、あなたの連絡先を奪いとり、その中のメールアドレスと電話番号宛にスパムを送るのを目的として、適当に作成されたお天気アプリなど)を隠すよう開発された新しいアプリ。もう一つは、悪質な開発者がマルウェアを忍び込ませた、有名なアプリの海賊版である。

中国のウェブサイト TechWeb は、「Hot Wallpapers」と言うお粗末アプリ(いわゆるクズだけれども人気があり、時に悪質なコードを含むアプリ)を調査目的で意図的に作成した。このアプリは、大きなセキュリ ティーホールを残したまま提供され、どのアップストアが重大な問題点を見つけ出し、アプリを採用しないと正しく判断するかを調べることができる。

TechWeb は、私も以前レビューした Android Market の代わりとなるアップストア、GoAPK(安智)、HiAPK(安卓)、Gfans(機器達人)、PeaPod(豌豆荚)、Innovation Works(創新工場) 傘下の AppChina(応用匯) を含む、5つのサービスに対し、その危険なアプリを配布した。驚いたことに、これら5つのサービスは全て、簡単な審査の後、この悪質なアプリを採用したのだ。上手は、「Hot Wallpapers」が PeaPod Market にアップされている図である。

各サービスにおいて一体どのような承認プロセスが必要とされているのかは明確ではない。しかし、これら全てのサービスは危険性を見逃し、ただ単にやみくもにマルウェアをばら撒く結果を招いており、ユーザのセキュリティなど念頭にはないようだ。もちろんスパム行為やデータ盗用を行うハッカーを責めるべきだが、多くのアプリ提供サービスも、法的措置で処罰される前に責任を負う必要があるだろう。上海のある弁護士は、悪質なアプリによる被害の訴えを被害者に起こされた場合、そのアップストアが開発者もしくはユーザに課金を行っていれば、法的責任は免れないだろう、とTechWeb に述べた。

個人的な見解だが、Google でさえも、アプリのセキュリティについて十分な対策を行っていないのではないだろうか。小規模なライバル企業(訳注:Android Market 以外のアップストア)に対してのみ、セキュリティを強化するように求めるのは過剰だろうか。しかし、Apple は対照的なアプローチをとっており、iTunes のアップストアにアップする前に、数日・数週間をかけて全てのアプリを綿密に調べ上げている。

スマートフォン上には、ラップトップコンピュータと比べ、たいてい多くの個人情報が保存されている。にもかかわらず、より高い確率でこれら危険性のあるアプリの餌食となり得るのだ。かと言って、Apple のような確固たる対策を取る必要もない。実世界に置き換えてみると、iOS を利用すると言うことはディズニーランドを歩き回ることだと例えられ、Android はニューヨークの街を歩き回ることと例えられるだろう。ニューヨークでは、盗難や暴行の対象になりやすいと言うのと同じことだ。我々、そして我々のスマートフォンは、実世界に存在するのだ。

出典:TechWeb(中国語)

【via Penn Olson】 @pennolson