こんにちわ、Hikaru Sanoです。
最近英語版が公開され、あっという間にアメリカのストアランキング4位に上り詰めた中国製写真加工アプリ『Meitu』をご存知ですか?
中国では2008年にリリース、現在は中国国外でも4億3千ユーザー以上を獲得しているらしいのですが、セキュリティ専門家が警鐘を鳴らし炎上する事態になっています。
不必要な権限の要求
このアプリはiOS、Androidの両方で配信されており、自身の顔写真をキラキラのアニメ調なんかに手軽に加工できるアプリ。
自分を綺麗に見せる加工というよりは、ゴテゴテにデコレーションして遊ぶ感覚のアプリと言えます。
手軽に編集できる事や思った以上に面白い加工ができるので瞬く間に人気になったのですが、セキュリティ専門家であるジョナサン・ズジアークスキー氏がソースコードに不適切なコードを発見し物議を醸す事に。
まずは特に酷かったAndroid版について解説します。
Androidはアプリをダウンロードする際、アプリ実行に必要とするスマホの各種権限要求を表示し、それを確認の上ダウンロードするような仕組み。
多くの人はあまり気にせずにダウンロードしてしまうのですが、このアプリは必要以上に多くの権限を要求してきます。
通常の画像加工アプリなら、「画像と動画の撮影」「ストレージのコンテンツの読み取り、変更または削除」が最低限必要になります。
ところがこのアプリ、この他に以下の多くの権限を許可しないとダウンロードできません。
- 実行中のアプリの取得
- おおよその位置情報(ネットワーク基地局)
- 端末のステータスと ID の読み取り
- Wi-Fi 接続の表示
- 端末のステータスと ID の読み取り
- インターネットからデータを受信する
- ネットワーク接続の表示
- システムの表示設定の変更
- ネットワークへのフルアクセス
- 音声設定の変更
- 起動時の実行
- 実行中のアプリの順序変更
- バイブレーションの制御
- 端末のスリープの無効化
- Google Play ライセンスの確認
他の画像アプリの権限も確認しましたが、それらよりあまりに多く不自然なものが多い状態です。
ズジアークスキー氏はこの権限と不自然なソースコードから、このアプリが各種情報を取得・収集、リスト化して「広告をターゲットとする企業にユーザーの情報を販売する可能性がある」と推測しました。
どこまでの情報を取得・送信しているのかは定かではありませんが、これが事実ならインストールすべきではないと言えるでしょう。
次にiOS、「普通」のiPhoneでダウンロード・実行する分には問題ないのですが、「脱獄」したiPhoneなら話は別です。
なんとソースコードに「この端末が脱獄されているか否か」を判定するコードと、「脱獄していた場合、携帯キャリアや電話番号、MACアドレスをバックグランドでチェック」するコードが実装されていたと指摘。
これらは明らかに不正な情報取得を目的としていますが、現状ストアルール等には違反していない状態でもあります(Androidは許可を確認、iOSは脱獄が前提のため)。
まとめ
いかがでしたか?
ストアルールを破ってはいないとはいえ、このアプリに悪質なコードが実装されているのには違いないです。
ズジアークスキー氏は一応「他のアプリほど悪くない」とフォローを入れているそうですが、これらを知らずにインストールしていたユーザの怒りはしばらく収まりそうにありません。
