11月 24, 2024

kenmin-souko.jp

日本からの最新ニュースと特集:ビジネス、政治、解説文化、ライフ&スタイル、エンターテインメント、スポーツ。

Google Playストアは、データ盗難コードが見つかった後、アプリをブロックします

Google Playストアは、データ盗難コードが見つかった後、アプリをブロックします

巨大なイスラム教徒の祈りのアプリというタイトルの記事の画像は密かに電話番号を収集していました

写真Pavlo Gonchar / SOPA Images / LightRocket ((ゲッティイメージズ)。

Googleは最近立ち上げました 研究者がデータ収集の秘密のコードが内部に隠されていることを発見した後、Playストアの12以上のアプリ(1,000万回以上ダウンロードされたイスラム教徒の祈りのアプリ、バーコードスキャナー、時計など)。 さらに奇妙なことに、秘密のコードは、バージニア州の防衛請負業者と提携している会社によって設計されました。この会社は、ユーザーのデータを盗むためにコードをアプリに統合するために開発者に支払いをしました。

研究を行っている間、研究者は、デバイスから個人識別子やその他のデータを盗むために使用される複数のアプリに埋め込まれたコードを思いつきました。 ある研究者は、コード、ソフトウェア開発キット、またはSDKは、「間違いなくマルウェアと見なされる可能性がある」と述べています。

ほとんどの場合、問題のアプリは反復的なコア機能を提供しているように見えました。これは、人がダウンロードしてすぐに忘れてしまうようなものです。 ただし、ユーザーの電話に埋め込まれると、SDKを備えたソフトウェアが、電話番号や電子メールアドレスなど、デバイスとそのユーザーに関する重要なデータポイントを収集したことが研究者によって明らかになりました。

ウォールストリートジャーナル 侵入したエイリアンコードは2人の研究者によって発見されたと最初に述べましたs、Serge Egelman、Joel Reardonは、どちらもAppCensusという組織を共同設立しました。この組織は、ユーザーのプライバシーとセキュリティについてモバイルアプリを監査します。 で ブログ投稿 調査結果に基づいて、Reardonは、AppCensusが2021年10月に調査結果について最初にGoogleに連絡したと書いています。しかし、Journalのレポートによると、Googleが調査した後、アプリは最終的にPlayストアから削除されませんでした。 Googleはこれに対して、「デベロッパーに関係なく、Google PlayのすべてのアプリはGoogleのポリシーに準拠する必要があります。アプリがこれらのポリシーに違反していると判断した場合は、適切な措置を講じます」と述べています。

アプリケーションの1つは、バーコードとQRコードスキャナーでした。ダウンロードすると、SDKによってユーザーの電話番号、電子メールアドレス、IMEI情報、GPSデータ、ルーターSSIDを収集するように指示されました。 もう1つは、ムアッジンやキブラコンパスなどのイスラム教徒の祈りのアプリのスイートで、1,000万回近くダウンロードされ、同様に電話番号、ルーター情報、IMEIを盗みました。 ダウンロード数が100万を超える天気と時計のウィジェットは、コードコマンドで同様の量のデータを吸い込みます。 全部で、アプリの中にはユーザーを見つけることもできるものもあり、6000万回以上のダウンロードを達成しています。

「正確なGPS位置履歴に基づいて個人の実際の電子メールと電話番号を識別するデータベースは、電話番号または電子メールがわかれば、個人の位置履歴を検索するサービスを簡単に実行できるため、特に威圧的です。ジャーナリスト、反対派、または政治的ライバルを標的にするために使用することができます」とリアドンは書いています 彼のブログを共有する

では、このすべての背後にいるのは誰ですか? 研究者によると、パナマに登録されている会社は測定システムと呼ばれています。 彼らの報告書の中で、研究者たちは、測定システムは実際には、国防産業と関係のあるバージニアを拠点とする企業であるVostromHoldingsと呼ばれる会社によって登録されたと書いています。 Vostromは、連邦政府機関向けのサイバーインテリジェンスとネットワーク防御を専門としているように見えるPacketForensicsと呼ばれる子会社を介して連邦政府と契約しているとJournalは報じています。

新聞に話を聞いたアプリ開発者は、管理システムがアプリにSDKを埋め込むために彼らに支払いをしたと主張しました。これにより、会社はデバイスユーザーから「データを密かに収集」することができました。 他の開発者は、会社が秘密保持契約に署名するように依頼したことを示しました。 雑誌で見られた文書は、同社が「中東、中央、東ヨーロッパ、アジア」に住むユーザーに関するデータを主に望んでいたことを明らかにしました。

防衛産業には長い間、 問題 関係 データ仲介業界では、雑誌の記事がうまくいかなかった後、Twitterのデータ研究者がすぐに指摘しました。

恐ろしいSDKコードが含まれていることが判明したアプリの完全なリストは、Reardonにあります。 書き込み AppCensusのWebサイトにあります。

READ  Cyber​​ Monday Sonos セール: Era 100、Move、Roam などの割引