China’s Unofficial Android App Stores are Malware Minefields
An investigation has found that China’s numerous unofficial Android app stores lack basic security checks on the apps they distribute – and that as many as 95 percent of Android users in the country are therefore at risk of malware-filled apps that they’ve downloaded from such sources.
中国の非公式なアンドロイドアプリケーションストアは、マルウェアの地雷原となっている。
ある研究では、中国の数多くの非公式なアンドロイドアプリケーションストアは、彼らが配信するアプリケーションの基本的なセキュリティーチェックが十分でないことを発表した。そのため、これらのソースからダウンロードした国内の95パーセントのアンドロイド利用者が、マルウェアの危険にさらされていることにも言及した。
As PO’s resident Android geek, I’ve closely followed this trend in China that leads away from Google’s (NASQAQ:GOOG) own Android Market, to localized sources that offer faster download speeds and don’t require a Google account to use. There’s plenty of choice, too – from web giant Tencent (HKG:0700) to smaller start-ups hoping to fill a niche. A few months ago, I made a list and overview of China’s eight best alternative Android app stores.
But, this new investigation shows that even some of those are unwittingly supplying malware-tainted apps that can steal data or cost you money by, say, auto-subscribing you to SMS/MMS services.
Penn-Olson (PO) 常駐の Android 機器オタクとして、Google(NASDAQ:GOOG)独自の Android 市場から注意をそらさせるローカライズ・ソース(より速いダウンロードスピードを提供しGoogle アカウントが無くても使用できる)などの中国のトレンドに私は密接してきた。また、ウェブ大手の Tencent(HKG:0700)に始まり、トレンドの中で適所を見つけ出したい比較的小規模なスタートアップ企業などに至るまで、中国では多くの選択肢が溢れかえっている。数ヶ月前、私は、中国で Android の代わりとなるアプリストア のトップ8と言うリストと概要を作成した。
しかし、それら上位ストアであっても、データを盗み取ったり SMS / MMS サービスへの自動加入により課金を発生させることができるマルウェアに感染したアプリを無意識のうちに配信していることを、本調査は示している。
There appear to be two kinds of Trojan apps – either a new app is developed that hides its malicious purpose (eg: a hastily-made weather app that actually just plunders your contacts for email addresses and numbers that it can spam); or a nefarious developer pirates a well-known app and modifies it to contain his own malware.
どうやら2種類のトロージャン・アプリがあるようだ。悪質な目的(例として、あなたの連絡先を奪い取り、その中のメールアドレスと電話番号宛にスパムを送るための目的で適当に作成されたお天気アプリなど)を隠すよう開発された新しいアプリか、悪質な開発者により改造をかけられマルウェアを含むよう作成された有名なアプリの海賊版アプリ、のいずれかである。
The Chinese website TechWeb, for its investigation, made a rough app called “Hot Wallpapers” – just the kind of crappy yet populist app that sometimes hides malicious code. It had been made with a gaping security hole, to see which app stores would spot it and reject it. The reporters then submitted the dodgy app to five of the eight alt markets that I reviewed before – to GoAPK, HiAPK, Gfans, PeaPod, and the Innovation Works-backed AppChina – and, lo and behold, all five services accepted the app after a brief review process. “Hot Wallpapers” is pictured above, listed in the PeaPod market.
中国のウェブサイトの TechWeb は、"Hot Wallpapers" と言うお粗末なアプリ(いわゆる屑だけれども人気のあるアプリで、時に悪質なコードを含むもの)を調査目的で作成した。このアプリは、大きなセキュリティーホールを持たせたまま作成されたものだが、これによってどのアプリストアがこの重大な問題点を見つけ出し、アプリを受け付けないと正しく判断するのかどうかを調べることができると言うもの。報告者はその後、私も以前レビューした Android の代わりとなるアプリストア、GoAPK、HiAPK、Gfans、PeaPod、そして Innovation Works 傘下の AppChina を含むおよそ 5~8つのサービスに向けてもその危険なアプリを配布した。驚いたことに、これら5つのサービスは全て、簡素な審査の後、この悪質なアプリを受け付けたのだ。"Hot Wallpapers" は上図に見るとおり。PeaPod 市場にてリストアップされている。
It’s not clear what the approval process at each market entails – but all of them missed the threat, and are thereby just blindly peddling malware, with no care for users security.
Although it’s the spamming and data-stealing hackers who’re to blame for this, the numerous app markets need to take responsibility too – before they get hit with a legal challenge. A Shanghai lawyer said to TechWeb that if the store charges a fee to developers and/or users, then they likely do have legal liability in the event of being sued by a victim of a malicious app.
各サービスにて一体どのような承認プロセスが必要とされているのかは明確ではない。しかし、これら全てのサービスは危険性を見逃し、ただ単にやみくもにマルウェアをばら撒く結果を招いており、ユーザーのセキュリティなど念頭にはないようだ。
これはもちろんスパム行為とデータ盗用を行うハッカーを責めるべきことではあるが、多くのアプリ提供サービスも、法的措置にて罰される前に責任を負っていく必要があるだろう。TechWeb が、悪質なアプリによる被害における訴えを被害者に起こされた場合、当アプリストアが開発者および/もしくはユーザーに課金を行っていたとすれば法的責任は免れないだろう、と上海のある弁護士はTechWeb にそう述べた。
Google itself, I feel, doesn’t do enough to ensure the security of apps – so it’s asking a lot of smaller rivals to beef up their security too. A contrasting approach comes from Apple, which takes days or weeks to more carefully vet all apps that go into its official iTunes App Store.
Googleでさえアプリの安全性の確認を十分しているとは個人的には思わない・・・そのため、周りのライバルに対してもセキュリティーの強化を促している。一方Appleの姿勢は対照的だ・・・公式iTunesアプリストアで扱うアプリを数日から数週間かけて入念に検査するのだ。
Smartphones carry more of our personal data than our laptops (in many instances) and yet are more likely to be subject to these kinds of dangerous apps. But that doesn’t mean we need such a ring-fenced approach as Apple takes. If using iOS is like walking around Disneyland, then using Android is like walking the streets of New York – you’re more likely to get mugged or beaten-up, but it’s the real world. We, and our smartphones, live in the real world.
ラップトップに比べて、スマートフォンにはより多くの個人情報が詰まっている(多くの場合)。そのため、様々な危険なアプリの対象になりやすい。Appleのように制限してしまうやり方までは必要だと思っていない。iOSを利用しているなら、Disneylandの中を歩いているようなものだ。一方、Androidを利用しているなら、ニューヨークの路上を歩いているようなものだ・・・強盗に遭ったり、ボコボコにされたりする機会は多くなる・・・でもそれが実社会だ。我々や我々のスマートフォンは、その実社会で活動しているのだ。
