「浮気防止アプリ」に深刻な欠陥、ヌード画像流出の危険も

Maria Savenko / Shutterstock.com

グーグルが運営するアンドロイド端末向けのアプリストア「Google Play」には、恋人たちが位置情報や画像などを共有する様々なアプリが公開されている。この手のアプリは、恋人同士が浮気防止の目的で利用する場合もあるが、本人の同意を得ずにインストールされ、ストーカー的行為に用いられることも広く知られている。

しかし、一部のアプリがもっと恐ろしい脆弱性を抱えていることが明らかになった。「Couple Vow(日本のストアでは「カップル覚書」として掲載)」というアプリが、170万人にも及ぶユーザーのパスワードを、無防備な状態で外部にさらしていることが判明した。

アプリのアカウントにアクセスすれば、誰でもユーザーの位置情報や送信したテキスト、通話記録を入手できる。さらに、アプリを用いて送信した全てのコンテンツが見られるのだ。また、データベースの脆弱性を利用して、ハッカーが他人のヌード画像を入手できることも発覚した。

この問題を発見したのはドイツのセキュリティ企業「Secure Information Technology(SIT)」だ。同社は8月11日のカンファレンス「DEF CON」でこの事実を公開した。

Couple Vowアプリは初歩的なセキュリティ対策を全く講じておらず、研究チームは「GETリクエスト」と呼ばれるコマンドを送信するだけで、サーバーからデータを抽出できたという。ユーザーネームもパスワードも必要とせず、ユーザーの行動履歴が誰でも把握可能な状態になっていた。

また、SITの研究者は調査目的でアプリ内に自身の画像を送り込み、それがセキュリティホールから入手できるかを確認したところ、自分の画像だけでなく他人のヌード画像まで見られることを発見した(研究チームは即座に画像のキャッシュを削除した)。

フォーブスはCouple Vowの開発者にコメントを求めたが、回答は得られなかった。

SITの研究チームは同様な脆弱性を抱えたアプリを他にも発見し、開発者に警告を送ったという。その結果、いくつかの開発者から返事が来たが、Couple Vowを含む複数のアプリが今でも公開されたままになっている。

SITはGoogle Playの運営元であるグーグルにも連絡をとったが、対応は万全とはいえない。グーグルはいくつかのアプリを削除したが、そのまま放置されているものもある。

フォーブスはこの件でグーグルにコメントを求めたが、回答は得られていない。

編集=上田裕資

ForbesBrandVoice

人気記事