情報漏えいニュース

パソコンの誤操作、不正アクセス、紛失、盗難などによる個人情報や機密情報の流出などは後を絶ちません。
「情報漏えいニュース」では、日々発生する情報漏えいに関するニュースをまとめて公開しています。

Google Playのパーミッションモデルが変更で不正なアクセス権限追加の恐れ

by ·

  • 元記事:「Google Play」におけるアクセス許可表示の変更、アクセス権限の不正な追加の恐れ
  • HP:トレンドマイクロ
    • 発表日時 2014/6/23

    Google Playのアクセス許可表示が変更されたことによりアクセス権限が不正に追加される恐れがあるとして、トレンドマイクロがその仕組みを説明している。
    iOSやAndroidはアプリのパーミッション管理がPCのOSに比べ厳格であるため安全で、また、ユーザはアプリのパーミッションを確認する手段もあった。しかし、GoogleがAndroid のパーミッションモデルを変更したことで、不正アプリの開発者がアプリ更新の際に危険性のあるパーミッションを追加することが容易になった。これまではアプリ更新の際には新しいパーミッションが必要で、ユーザは新しいアプリのインストール同様パーミッションを確認してから許可を与える必要があった。しかし、変更によりアクセス権限グループが機能ごとに作成されており、必要とするパーミッションが、ユーザが既に別のアプリでアクセス権を与えたグループと同じ権限グループ内の機能である場合には許可が必要でなくなったため、アプリの自動更新が有効になっていると、ユーザがパーミッションの変更に気づかないうちに更新される。これにより、無害なパーミッションを持つアプリを最初に作成し、その後アップデートの際に不正な挙動に必要なパーミッションを後から簡単に追加できるようになる。例えば、フラッシュライトと録音・録画が同じパーミッショングループになっているため、フラッシュライトのアプリの更新の際に録音・録画などを行うアプリに更新されてストーカー行為などに悪用することも可能になる。その他にも、外部記憶装置のコンテンツの読み取りや変更、削除なども同じグループに属し、外部記憶装置のコンテンツ読取りのパーミッションを備えると、コンテンツの変更や削除機能を備えたアプリにアップグレードが可能になる。こうした、気づかないパーミッションを避けるためには自動更新を無効にして手動で更新することである。Google Playのアプリはユーザに更新通知を行うため、ユーザは新しいパーミッションを確認してから手動で更新することができる。面倒ではあるが、これが安全策だと思われる。




    タグ:

    ワンビは情報漏洩対策の専門家です。情報漏洩に関する様々な情報はこちらからどうぞ!
    ワンビは情報漏洩対策の専門家です。
    テレワークPC紛失・盗難時の情報漏洩防止と
    第三者データ消去証明にご興味がありましたらこちらから!

    あわせて読みたい