2013年3月23日土曜日

[Android] アンドロイダー公認アプリはどれくらい安全か?

How secure are the Androider official applications
2013年3月、トレンドマイクロは「29万本以上のAndroidアプリがマルウェアである」というブログを発表しました。
http://countermeasures.trendmicro.eu/android-malware-believe-the-hype/
ウィルスバスターの宣伝の一貫だと思いますが、マルウェア被害には遭いたくないものです。

MtkはAndroidアプリケーションを個人で開発し公開しています。
公開したアプリがマルウェアでないことをアピールするための一貫として全てのアプリをアンドロイダー(敬称略)に公認していただいてます。
アンドロイダー公認アプリがどういうものなのかまとめてみました。

アプリをアンドロイダーに登録するにはアンドロイダー公認デベロッパーになる必要があります。
アンドロイダー公認デベロッパーになるための条件は次の通りです。
本人確認
身分証明書の提出
面接または電話による本人確認
個人でも企業でも申し込み可

開発者が個人の場合、アンドロイダーは少なくとも本名・住所・生年月日・電話番号などの情報をつかんでいることになります。
また、最低でも1度は本人と会話しています。
ちなみにMtkが登録したときはメールや本人確認の会話は日本語でした。

さらにアプリが公認されるには審査を通過する必要があります。
アンドロイダーがアプリを審査する流れは次の通りです。
開発者からAPKファイル(アプリの完成品)を受け取る
APKファイルのバージョンをプレイストアと比較する
ウィルススキャンする
アプリの権限(パーミッション)の使われ方を人力チェックする(らしい)
WindowsストアアプリのようなUX(ユーザーエクスペリエンス)の審査はしない

アプリに含まれるリスクを自動的にも人力でも洗い出して審査しているようです。
ただしアンドロイダーに提出したAPKファイルとPlayストアで公開されているAPKファイルが一致している保証はできません。

Playストアにマルウェアを公開し、アンドロイダーに無害なAPKファイルを提出して審査を通過すれば公認アプリを名乗ることができてしまいます
開発者にAPKファイルを提出させる理由は、おそらくライセンスの都合でPlayストアからAPKファイルをダウンロードできないためと思われます。

ただしアンドロイダーは開発者本人の情報をつかんでいることはマルウェアを公開させないための抑止力になっていると思います。
マルウェアを公開したことがばれて電話がかかってきたり内容証明が送られてきたら面倒です。(アンドロイダーがそこまでするかは不明ですが)
また、人力チェックで明らかに過剰な権限が見つかったら審査は通過しません
ACCESS_MOCK_LOCATION(実機での動作には不要なデバッグ用の権限)が有効のAPKファイルを提出したら審査に通過しませんでした。

まとめ
抜け道はありますが非公認アプリに比べるととてもリスクが低いと言えます。
「100%安全です」と言いたいところですが、自分のスマートフォンを守るのは自分自身です。
アンドロイダー非公認のアプリはインストールを見送ったり、公認アプリでも権限をよく確認してからインストールすることをおすすめします。

アンドロイダー公認アプリを公開中です!
ストレッチを支援する Eye元気!2
カードの絵合わせゲーム Shuffle!V

関連ブログ
[Android] セキュリティ対策
[Windows] PCをウィルス(マルウェア)の被害から守るために
[セキュリティ] ハードディスクを処分する

以上、参考になれば幸いです。

0 件のコメント:

コメントを投稿