SDKはSoftware Development Kitの略でソフトウェア技術者がアプリケーションを開発するための基本的な材料を揃えたセットとも言うべきものです。開発するアプリの用途などに応じて様々なSDKがあるようですが、Android向けアプリ開発のSDKの中には、スマホの機微情報を収集するものがあるようです。
スマホを変えても追跡されてしまう
サイバーセキュリティのパロアルトネットワークスの脅威分析チームが発表したレポートによると、同社の機械学習(ML)ベースのスパイウェア検出システムが識別したAndroidマルウェア、UmenAdwareから中国のIPアドレスに宛てて送られたメッセージを分析したところ、メッセージのソースが中国の大手検索サービスのBaidu(百度)のAndroid Push SDKにあることを特定したということです。GooglePlayストアにはBaiduの検索ボックスのアプリや地図のアプリがありますが、こうしたアプリもBaiduのAndroid Push SDKが使われているということです。
そして、中国のIPアドレスに送信されたメッセージには、デバイスの様々な情報、具体的にはキャリア情報やMACアドレス、IMSIなどが含まれていたということです。つまり、BaiduのAndroid Push SDKを使ってつくられたアプリケーションはデバイスの機微情報を収集する仕組みになっていて、そのデータはAndroidマルウェアによって外部に送信される可能性があるということです。IMSIはスマホのSIMカードに記録されているデータで、このデータが漏えいすると、スマホユーザーを識別・追跡することが可能となり、たとえユーザーがスマホを変えて電話番号を新しくしても追跡されてしまう可能性があるということです。また、IMSIのデータがサイバー犯罪者の手に渡ると、ユーザーのプロファイルが作成され、電話やテキストメッセージが傍受されてしまう可能性もあるということです。
パロアルトネットワークスの脅威分析チームは分析の結果をBaiduとGoogleに通知し、Google は独自に調査をしてGooglePlayストアでグローバルに配布されていたBaidu Search BoxとBaidu mapsを今年10月28日付けで削除、その後、11月19日にGooglePlayストアの規約に準拠したバージョンのBaidu Search Boxがリリースされました。
Android版ドローン用アプリでも
BaiduのSDKをめぐっては2015年にも脆弱性やバックドアが見つかり問題になったことがありました。また、パロアルトネットワークスの脅威分析チームのレポートでは、BaiduのSDKのほかに機微情報を収集しているSDKとして中国企業のMobTechのShareSDKについて指摘しています。レポートによるとMobTechのShareSDKは40種類以上のソーシャルメディアプラットフォームをサポートしており、3万7500種類以上のアプリにサービスを提供している中国最大の開発者サービスプラットフォームだということです。
ShareSDKのソースコードには、MACアドレス、Android IDなどのデバイスデータやIMEIやIMSIデータを収集していることが示されているということです。MobTechのSDKをめぐっては今年7月、中国・深圳のドローンメーカー、DJIが提供するドローン用アプリ「DJI GO 4」のAndroid版でIMSIなどのデータをMobTechに送信していることが判明し、MobTech のSDKがドローン用アプリ「DJI GO 4」に組み込まれてスマホの機微情報をMobTechに送っていたことがサイバーセキュリティの複数の専門家によって指摘されています。
パロアルトネットワークスの脅威分析チームのレポートは、Androidアプリの開発者はAndroidのベストプラクティスガイドに従ってユーザーデータを正しく処理する必要があり、ユーザーは自身のスマホのアプリが要求する権限について把握しておく必要があると指摘しています。スマホアプリからの機微データの漏えいについて一般社団法人日本スマートフォンセキュリティ協会(JSSEC、佐々木良一会長)に確認したところ、「個人の特定につながるパラメータの取得については各OSにおけるアプリ開発基準を参照いただき、またAndroid上での実装につきましてはJSSEC Androidセキュアコーディングガイドを参考にして欲しい」との回答でした。
■出典・参考
https://unit42.paloaltonetworks.jp/android-apps-data-leakage/
https://xtech.nikkei.com/it/atcl/column/14/277462/122500042/
https://blog.trendmicro.co.jp/archives/12540
https://www.synacktiv.com/en/publications/dji-android-go-4-application-security-analysis.html