あなたの検索履歴と移動履歴がアプリから覗かれている!?

こんな記事がありまして、Googleのアカウントって他人に知られたらほんとやばいよなあ、とまず。

「ウェブ履歴」で思考・興味が丸裸になる

「ロケーション履歴」でおおよその行動履歴がモロバレに

すべてのGoogleユーザが知っておくべき2つの機能とパスワード管理の重要性 | アプリオ

Google ウェブ履歴
https://history.google.com/history/

Google_-_ウェブ履歴

Googleロケーション履歴
https://maps.google.com/locationhistory/

Googleロケーション履歴

で、マカフィーからこんな情報がでてます。

重要な確認処理が省略されたほぼ自動的な方法でGoogle Playから他のアプリのダウンロード、インストールおよび起動を行う危険な国内ユーザー向けアプリをGoogle Play上で確認しました。

端末上のGoogleアカウント情報を取得し、そのアカウントを用いてGoogleサービスへアクセスする権限をユーザーに要求します。

アプリはその認可トークンを用いてGoogle PlayストアのWebサーバーと何度か非公式な方法でのHTTP通信を行います。

この自動インストールでは、アプリ説明の閲覧や権限要求の確認と許可・拒否を行う機会がユーザーに与えられません。

要するに

「すべての権限の確認をユーザにさせることなく勝手にアプリをインストールして起動できる」

ということになるのでしょうか。

防ぐ方法としては、

この自動インストールは、ユーザーがアプリに対し「端末でアカウントを検索」(GET_ACCOUNTS)と「端末上のアカウントを使用」(USE_CREDENTIALS)という権限要求をインストール時に許可することで可能となります。

ということなので、

実行時に表示されるGoogleアカウントのSIDおよびLSIDに対する権限要求画面上でそれを拒否すること

ということしかないようです。

マカフィー株式会社 | McAfee Blog -Google Playからアプリ自動インストールを行う危険な国内向けAndroidアプリ

この2つのパーミッション

GET_ACCOUNTS
USE_CREDENTIALS

ほとんどの人が気にしてないような気がします。

実際、あたしの今現在の端末の状況を確認してみました。

これら2つの権限をもっているとやばいということなのですが、実際は、数十個レベルで許可してインストールしているのが事実で。

20140304-185203

誰もがインストールしてそうなアプリにもこの権限を利用しています。

20140304-183949

20140304-184742

20140304-184918

こんなアプリの危険情報が出た時のいつもの対応策

Googleアカウントに関わる権限(今回の場合はSIDおよびLSID)が要求されたりした際には、そのアプリが本当に信頼に値するものか非常に慎重に再確認すべき

てのフツーできなくね?

「そのアプリが本当に信頼に値するものか」

。。。

「便利さ」と「危険さ」はいつも仲良しなのでしょうかっ。


関連ワード:  AndroidGoogleこれはひどいアプリセキュリティツールニュース評判速報