Androidの「the Movie」アプリで数万件~数百万件の個人情報が大量流出した可能性あり
スマートフォンの電話帳に登録されているすべての名前・メールアドレス・電話番号を無断で外部のサーバに送信する機能が「the Movie」シリーズのアプリにあることが判明しました。「個人情報漏れすぎ, - luminのコードメモ」によると、これまでにダウンロードされた数は6万6600~27万1500となっており、このアプリをダウンロードした各自の連絡帳に平均50人の情報があるとすれば333万~1357万5000人ぐらいの個人情報が漏れた可能性があるとのことです。
要するに、このAndroidアプリを登録した謎の開発会社(あるいは個人)が、最初から個人情報を抜き取るためだけにアプリを作って登録し、それによって少なく見積もっても約6万人、そしてその6万人のアドレス帳に入っている全員の情報が抜き取られてどこかへ送信され、作者は逃亡して消息不明、というわけです。
スマホアプリ 情報大量漏洩か NHKニュース
http://www3.nhk.or.jp/news/html/20120413/t10014429731000.html
「the Movie」と名付けられた不審なアプリについて | AndroidニュースやアプリのAppLab
アプリをインストールした人だけで無く、その人のアドレス帳に登録されている人の情報も持って行かれてしまったというのがポイントで、「自分はこのアプリをインストールしていないから大丈夫」と思っていても、あなたをアドレス帳に登録している誰かがこのアプリをインストールしていたのであれば、アウトです。
NHKによると、問題となっているアプリは以下の16タイトルとなっており、以下のアプリをインストールした人が周囲にいないかどうか、チェックする必要があります。
「けいおん-K-ON!動画」
「うまい棒をつくろう! the Movie」
「連打の達人 the Movie」
「チャリ走- the Movie」
「ぴよ盛り the Movie」
「空手チョップ! the Movie」
「ウォーリーを探せ the Movie」
「FC2動画まとめ the Movie」
「スク水動画まとめ」
「桃太郎電鉄 the Movie」
「メガ盛りポテト THE MOVIE」
「魔界村騎士列伝 THE MOVIE」
「3D視力回復 THE MOVIE」
「ギャングハウンド the Movie」
「大盛モモ太郎 THE MOVIE」
「スヌーピーストリート THE MOVIE」
また、調べたところ、以下のアプリも同じ作者によるものでした。
Winning Eleven 2011 the Movie
そもそもの発端はこのツイート。
◆2012年4月11日 - 16:29
Androidマーケットにて、人気アプリ名のあとに「the Movie」とつけた不審なアプリが複数出回っています。これらのアプリは「連絡先データの読み取り」と「端末のステータスとIDの読み取り」が目的と思われるため、インストールは避けるのが安全でしょう。 #androidjp
解析の結果、利用者の電話番号とメールアドレス、アドレス帳にある携帯番号とメールアドレスすべてを送信していることが以下のようにして判明します。
◆2012年4月12日 - 21:38
送っている情報は利用者の電話番号とメールアドレス、アドレス帳にある携帯番号とメールアドレス全て。 RT @applabjp Androidマーケットにて、人気アプリ名のあとに「the Movie」とつけた不審なアプリが複数出回っています。 http://pic.twitter.com/t2vPOu8d
一体どこのサーバに情報を送信したかも判明。
◆2012年4月12日 - 21:38
送信先はプロバイダアドレスで、http://depot.bulks.jp/ です。画像はサーバの宛先を変えたアプリをエミュレータ環境で実行したものです。 RT @applabjp
さらにAndroid IDも送っていることが判明。
◆2012年4月13日 - 0:11
AndroidIDもですかね http://lockerz.com/s/200692006 http://lockerz.com/s/200692019 RT: @lumin: 送っている情報は利用者の電話番号とメールアドレス、アドレス帳にある携帯番号とメールアドレス全て。 RT @applabjp
また、さらなる追い込みによって、この個人情報不正取得&個人情報ダダ漏れ漏洩流出アプリの作者が一体誰かというのも突き止めたようです。
◆2012年4月13日 - 0:48
the Movieアプリを作っていると思われる人の電話番号ゲット!これで電凸できると思うけど。
the Movie作者が逃げ始めました。
すでに、自宅住所までわかりますよ。 @wakatono 逃げられるとも思えないですがねw QT @lumin: the Movie作者が逃げ始めました。
Androidディベロッパーの電話番号とか自宅住所とか合法的な方法で入手できるの・・・? 捜査協力かな。
そのあたりは、長年の経験とノウハウがものをいうのですよ。 @bulkneets Androidディベロッパーの電話番号とか自宅住所とか合法的な方法で入手できるの・・・? 捜査協力かな。
the Moive作者さんサーバをとめないとそっちからいくよとかいうと、サーバを止めるのだろうか。
そして、サーバ停止。これによって流出した個人情報の収集は一旦停止した形になります。
◆2012年4月13日 - 16:59
The Movieのサーバ止まりました。これで安心できます。 ご協力ありがとうございました。>関係者様
確かにこれ以上被害が拡大しないという意味では「これで安心できます」なのですが、かなり大量の数の個人情報がすでに渡ってしまった可能性が大です。それにしても、この一連のアプリを作成して行方をくらました作者はゲットした大量の個人情報を一体何に使うつもりなのでしょうか?
・関連記事
Androidに感染する新型マルウェア「TigerBot」登場、通話盗聴も可能に - GIGAZINE
偽アンチウイルスソフト詐欺がAndroid向けにシフト、2012年にさらに流行へ - GIGAZINE
Android向け無料アンチウイルスソフトは無意味 - GIGAZINE
・関連コンテンツ
in メモ, モバイル, ソフトウェア, ネットサービス, Posted by darkhorse
You can read the machine translated English article A lot of tens of thousands to millions o….