モバイルセキュリティ企業Lookoutは、人気の壁紙アプリが中国の謎のウェブサイトにユーザーの機密データを送信していたことを明らかにし、Androidを当惑させた。
この発見は、一見すると、Appleの厳格なiPhone App Storeを正当化する論拠のように見える。確かに、App Storeの承認プロセスにはAndroid Marketにはない、より厳格なセキュリティ層が存在する。たとえ、Appleの指示で一部の魅力的なアプリが許可されないという状況になったとしてもだ。しかし、Appleにとってのメリットはそれほど明確ではない。
まず、少し背景を説明します。このAndroid用壁紙アプリはJackeey Wallpaperから提供されており、マイリトルポニーやスターウォーズなどの人気ブランドをフィーチャーしており、VentureBeatの報道によると、ダウンロード数は110万~460万回に上ります。Jackeey Wallpaperアプリは、SIMカード番号、加入者情報、そして携帯電話に自動登録されている場合はボイスメールのパスワードを収集し、中国深圳に登録されたドメインであるwww.imnet.usに送信していました。
一見すると、iPhone App Storeの審査担当者はアプリにこのようなアクティビティが見られれば不承認にするはずですが、必ずしもそうとは限りません。昨年12月、スイスのiPhone開発者であるニコラス・セリオ氏は、連絡先情報、GPS位置情報、ウェブ検索、そしてパスワード以外の入力内容をすべて盗み取ることができる概念実証アプリを発表しました。Appleは通常、このようなアプリを却下しますが、悪意のある開発者は実行時に変更を加えたり、その他の遅延攻撃で審査担当者を欺こうとする可能性があります。(画像をクリックすると拡大します)
Androidはユーザーを保護する方法が異なります。Androidアプリをダウンロードすると、どのような情報にアクセスするのかが表示されます。例えば、ビデオゲームがテキストメッセージを読み取るとアナウンスすれば、ユーザーはそれを確認でき、何か怪しいことが起こっていると判断できます。一方、Appleはアプリ自体をより厳重に保護していますが、どのようなデータがアクセスされるのかをユーザーには伝えていません。
しかし、Lookoutが示すように、Androidのシステムも完璧ではありません。Jackeey Wallpaperアプリをダウンロードすると、「電話情報」を収集していると表示されるだけで、実際には何の意味もありません。
Lookoutによると、iPhoneとAndroidはどちらもサードパーティ製ソフトウェアの問題に直面しているという。サードパーティ製のコードは通常、広告や分析に使われるが、ユーザーやコードを実装した開発者でさえも気づかない方法でデータにアクセスする可能性がある。Appleは最近、分析や広告を目的としたサードパーティによるiPhoneデータの収集を禁止したが、これは主にFlurryのようなグループがAppleの新製品に関する情報を漏洩するのを阻止することが目的だった。
Lookoutは、AndroidとiPhoneの両方が悪質なマルウェアをストアから排除していることを称賛しました。彼らのメッセージは、結局のところ、開発者とユーザーに対し、使用するソフトウェアについて注意を促すものでした。ですから、私は大きな懸念材料はないと考えていますし、Appleのアプリセキュリティ対策がAndroidよりも間違いなく安全だとも思っていませんし、その逆も同様です。
