Android壁紙アプリがスパイウェアだった件

こんな流れ

http://togetter.com/li/38526

くろぺんさんが綺麗にまとめてる

http://komugi.net/archives/2010/07/29151123.php

問題の開発者

問題のパケットのダンプ

http://pastebin.com/MNMUjQQG
- 物理アドレスだけ00で埋めた
http://f.hatena.ne.jp/androidzaurus/20100729141747
- 物理アドレスだけ（ｒｙ

セキュリティ会社を名乗る大本営発表 *1は、たいてい尾ひれがついて面白おかしく大げさな記事が多いので、注意して読んでる。今回も、ブラウザのヒストリ、SMS、ボイスメールパスワードというREAD_PHONE_STATEでは取得のしようがないデータが、中国のサーバ（www.imnet.us）に送られたという話になっている。実際に送られていたのは、電話番号、留守電番号、SIM情報など。文末に実際のデータを載せておく。

どうやってパケットキャプチャしたかというと、なんとかして問題のアプリケーションをエミュレータにインストールして、WireShark *2。で、パケットを追ってみた。というまでもなく、POSTで平文で送っていたのであっと言う間だったが。

今回は壁紙アプリなのにREAD_PHONE_STATEパーミッションを使っているという、なんだか怪しく見えなくもないケースだったが、パーミッションだけでは判定しにくいだろう。問題のアプリが使っているパーミッションに、それぞれ理由を考えてみると、READ_PHONE_STATE以外はまっとうな理由があるだろう。

INTERNE	壁紙データのダウンロード（と個人情報の送付）
SET_WALLPAPER	壁紙設定
ACCESS_NETWORK_STATE	オフライン検出
READ_PHONE_STATE	（？＿？）
WRITE_EXTERNAL_STORAGE	取得画像をSDに保存
ACCESS_COARSE_LOCATION	ロケーションベースの広告

信頼できないアプリの個人的なフラグとしては、

マーケットで「他のアプリケーションを見る」と、異常に多いスパマー
やたらパーミッションを必要とする
説明文の英語が悲惨過ぎる

そんな感じ。

そういえば、SlideMeに上がっていた問題の壁紙アプリを、JN-DK01に興味本位でインストールしてみたことがあるかもしれない。起動しても例外吐いて落ちるので、アンインストールしたが。今思えば、SIMデータなどが取れなくて死んでいたのか。

最後に、imnet.usに送信されていたデータ一覧。エミュレータのデータなので、意味はない。

uniquely_code=000000000000000&
device_info=device_id=000000000000000&
device_software_version=null&
build_board=unknown&
build_brand=generic&
build_cpu_abi=&
build_device=generic&
build_display=google_sdk-eng+1.6+Donut+20842+test-keys&
build_fingerprint=generic/google_sdk/generic/:1.6/Donut/20842:eng/test-keys&
build_manufacturer=&
build_model=google_sdk&
build_product=google_sdk&
build_tags=test-keys&
build_time=1259104608000&
build_user=android-build&
build_type=eng&
build_id=Donut&
build_host=e-honda.mtv.corp.google.com&
build_version_release=1.6&
build_version_sdk_int=4&
build_version_codename=&
build_version_incremental=20842&
density=1.0&
height_pixels=480&
scaled_density=1.0&
width_pixels=320&
xdpi=160.0&
ydpi=160.0&
line1_number=15555218135&
network_country_iso=us&
network_operator=310260&
network_operator_name=Android&
network_type=3&
phone_type=1&
sim_country_iso=us&
sim_operator=310260&
sim_operator_name=Android&
sim_serial_number=89014103211118510720&
sim_state=5&
subscriber_id=310260000000000&
voice_mail_number=%2B15552175049&
imsi_mcc=310&
imsi_mnc=260&total_mem=27402240

*1:http://mobile.venturebeat.com/2010/07/28/android-wallpaper-app-that-steals-your-data-was-downloaded-by-millions/

*2:http://www.wireshark.org/