セキュリティを楽しく学ぶ、触れる。セキュリティごった煮ブログ

ネットエージェント
セキュリティごった煮ブログ

 コース:元祖こってり

「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。

Android アプリ 個人情報流出を把握するまでの背景をご紹介!

さて、昨日こちらのブログでも遅ればせながら紹介させていただいた
Android アプリからの個人情報流失の件につきまして、本日はアプリ
の内容ではなく、そのアプリがどのような経緯で「問題あり」と判定
されたのか、その背景の部分をご紹介したいと思います。

問題のアプリは、インストールしたユーザーの電話番号や住所、メール
アドレスを入手し、アプリのユーザー間で閲覧できる、という内容のもの
だったのですが、こうしたアプリの仕様や流出した個人情報の件数といった
具体的な情報を特定(評価)するのに要した時間は、わずか1分程度でした。

では、どのように?
その答えは至ってシンプルです。

(タイミングよく、昨日リリースした)secroid(セキュロイド)を使って
アプリを検索し、評価者モードでアプリの内容を確認したのです。

※secroid って何?という方は本記事の末尾にございます
 「secroid(セキュロイド)の概要」をご参照下さい。

さて、この secroid には評価者モードという別サイトが存在しており、
そちらを利用すると、そのアプリに含まれるクリティカルコードやパー
ミッション情報などの詳細を確認することができます。

今回、問題となったアプリを secroid の評価者モードで確認してみると、
アプリ内には外部のデータベースへ接続する仕様があり、個人情報が流出
する仕組みであることが一目瞭然で分かりました。

以上が、今回の件が明るみに出た背景となります。

現在、secroid 評価者モードはスマートフォンアプリを紹介する記事を
書かれるレビュアーの方を対象に個別にご案内させていただいております。(無償)

ご利用を希望される方は下記の宛先までお問い合わせ下さい。

お問い合わせ先
サービス事業部 コンサルティング営業グループ
Email:forensics@netagent.co.jp
担当:堤
―――――――――――――――――――――――――――――――――――
■secroid(セキュロイド)の概要

一言で言えば
「Android 用アプリに内在する、ユーザーにとっての危険性を自動的に
チェックし、その情報を公開する Web サイト」になります。
このサイトを一般ユーザーにご利用いただくことでユーザーが安心して
Android を利用できる環境に貢献することを目的としています。

★secroid リリース情報
http://www.netagent.co.jp/news20121011.html

★secroid サイト URL
http://secroid.jp/

メルマガ読者募集 採用情報 2020年卒向けインターンシップ

月別