多くの Android スマートフォンにバンドルされているアプリは、ほとんどのユーザーが考える以上にセキュリティとプライバシーに対する脅威をもたらしています。
これは、米国とスペインの大学の研究者による論文(PDF)によるものです。彼らは、214の異なるベンダーがAndroidデバイスにプリインストールしたソフトウェアを調査しました。その結果、ハードウェアメーカーから携帯電話会社、サードパーティの広告主まで、あらゆる企業が製品に危険なコードを搭載していることが判明しました。
「私たちの研究結果は、プリインストールされたソフトウェアのかなりの部分が潜在的に有害、あるいは望ましくない動作を示すことを明らかにした」とマドリード・カルロス3世大学、ストーニーブルック大学、カリフォルニア大学バークレー校ICSIのチームは述べた。
「Android アプリのエコシステム全体で個人データの収集とユーザー追跡が蔓延していることは知られていますが、プリインストールされたアプリでもそれがかなり蔓延していることがわかりました。」
バンドルされたソフトウェアを調査するために、研究チームは、130か国以上の1,742種類のデバイスモデルを実行している2,748人のボランティアからファームウェアとトラフィック情報をクラウドソーシングしました。
これらすべての異なるベンダー、キャリア、ロケールにわたって、1 つのテーマが見つかりました。Android デバイスには、ストレージを占有するだけでなく、個人情報を収集し、場合によってはマルウェアを導入するブロートウェアが満載です。
「プリインストールされたAndroidソフトウェアや組み込まれたサードパーティライブラリによるユーザー追跡活動の事例を特定しました。これは、通常のPII(個人情報)や位置情報データの収集から、個人の電子メールや通話のメタデータ、連絡先、場合によってはさまざまな行動や使用状況の統計を含む、より侵入的な行為まで多岐にわたります」とチームは記している。
「また、VirusTotalによると、過去数年間に流行した既知のファミリーに属するいくつかの孤立したマルウェアサンプル(Xynyin、SnowFox、Rootnik、Triada、Ztorgなど)と、標準的な一連の悪意のある動作を示す一般的なトロイの木馬(サイレントアプリプロモーション、SMS詐欺、広告詐欺、URLクリック詐欺など)も発見しました。」
膨張に注意
デバイスベンダーだけが犯人ではありません。バンドルアプリはベンダー自身によってインストールされる場合もありますが、通信事業者が独自のソフトウェアをデバイスに追加することでブロートウェアが混入される場合もあります。また、サードパーティが、本来は無害で有用なソフトウェアに広告や追跡ツールを紛れ込ませる場合もあります。
Android Wear: ブロートウェアからグロートウェアへ
続きを読む
研究者たちは、この問題への対処は特に困難になる可能性があると指摘している。ベンダーも通信事業者も、販売されるデバイス1台あたりから少しでも利益を上げようと躍起になっているため、バンドルアプリや広告・追跡ツールは企業にとって非常に魅力的であり、上層部からの圧力がなければ、ほぼ常に利益が優先されることになる。
そのため、彼らは、誰かが介入してサプライチェーンの監査を提供し、バンドルされたソフトウェアの潜在的なセキュリティとプライバシーの脅威を検出することを推奨しています。
「ベンダーにライセンスを供与する能力と認証プログラムを考慮すると、Google は最有力候補となる可能性がある」と研究者らは指摘している。
「あるいは、自主規制がない場合には、政府や規制機関が介入して規制を制定し、サプライチェーンのさまざまな関係者から一部の管理権を奪い返す執行措置を実行することも可能だ。」
この研究「プリインストールされたAndroidソフトウェアの分析」は、ジュリアン・ガンバ、モハメッド・ラシェド、アッバス・ラザグパナ、フアン・タピアドール、そしてナルセオ・ヴァリナ=ロドリゲスによって執筆されました。今月後半に開催される第41回IEEEセキュリティ・プライバシーシンポジウムで発表されます。®
