アプリをインストールするときは「アクセス許可」に表示される項目に注意 特集その1

Androidでアプリのインストール時に表示される「アクセス権限」などの確認画面では、そのアプリがどんな機能を利用するかが表示される。
ユーザーの知らないところで不正な動作をする有害アプリの侵入を防ぐための仕組みなので、「よく分からない」「面倒くさい」「早く使いたい」などと言って読み飛ばさずに、しっかり確認するようにしよう。

パーミッションを確認するときは、アプリの機能を実現するために必要かどうかに注目しよう。画像を加工するだけのアプリなのに「連絡先データの読み取り」の許可を求めるなど、何のために必要なのか分からないパーミッションを要求するアプリには要注意だ。
このような怪しいアプリは、無闇にインストールせず、代わりのアプリがないか探すようにしよう。大抵は、最小限のパーミッションで利用できる同種のアプリが見つかるはずだ。

permission_101Android上からマーケットにアクセスしてアプリをインストールしようとすると、このようなアクセス権限の確認画面が表示される。「OK」を押すだけでインストールできてしまうが、不審な権限を要求していないかよく確認しよう。

permission_102野良アプリの.apkファイルをインストールしようとした場合は、このような確認画面が表示される。

permission_103パソコンのブラウザからマーケットのアプリのページを表示した場合、「アクセス許可」のタブでパーミッションを確認できる。


連絡先関連のパーミッションを要求するアプリには特に注意

機能の実現に必要なパーミッションしか要求していないからといって、そのパーミッションを悪用していないとは限らない。悪用されそうな権限を要求するアプリは、レビューや開発元のサイトなどをよく確認して、十分信頼できるアプリのみインストールするようにしよう。
特に注意すべきなのは「連絡先データの読み取り」や「SMS または MMS の読み取り」「SMSメッセージの送信」などのパーミッションだ。これらの機能を悪用されると、知人にスパムやマルウェアが送りつけられたりして迷惑をかけてしまう恐れがある。
情報送信に必要な「完全なインターネットアクセス」などのパーミッションを要求しないアプリでも、工夫をすれば情報を流出させることはできてしまうので、油断は禁物だ。
連絡先の管理アプリなど、これらのパーミッションを要求してもおかしくないアプリでも、無闇にインストールするのは避けたほうがいいぞ。

permission_104このアプリは、「連絡先データの読み取り」を筆頭にやたらと多くのパーミッションを使用し、「完全なインターネットアクセス」まで要求している。このようにやたらと多くのパーミッションを要求するアプリは要注意だ。

permission_105「他にチェックしたアプリ」や「他にインストールしたアプリ」の欄などから同種のソフトをチェックし、より少ないパーミッションで利用できるアプリがないか探してみよう。

permission_106どうしても代わりのアプリが見つからない場合は、レビューの数や内容をチェックしたり、アプリ名の下にある開発元のリンクから、ほかのアプリを確認したり、「~のウェブサイトにアクセスする」のリンクからサイトを確認したり、Googleで開発者名やURLを検索して評判を調べるなどして、信頼できそうかどうかを十分に確認してからインストールするようにしよう。

広告入りアプリはインターネットアクセスや位置情報の取得を要求する

一見何のために必要なのか分からないパーミッションを要求するからと言って、不正な動作に悪用すると決まったわけではない。
無害なアプリが不要に思えるパーミッションを要求するケースとして代表的なのが、広告の表示だ。広告データを取得するために「完全なインターネットアクセス」を要求するほか、ユーザーの現在位置に関連した広告を表示させるために位置情報の取得権限を要求するアプリもある。
インターネットアクセスが必要なさそうなジャンルのアプリがこれらのパーミッションを要求しているからと言って、すぐにインストールを見送ってしまうのは早計だ。

なお、広告入りのアプリがインターネットアクセスや位置情報の取得権限を要求することを利用すれば、実際にインストールしてみなくても広告入りかどうかを判別できる。
同種のアプリが大量に公開されていて、なるべくよい物を選びたいが全部インストールして試すのは面倒なときは、この方法で広告の入っていそうなアプリを除外してしまうといいぞ。

permission_107これは音声ファイルを再生するアプリだが、広告を表示するためにインターネットアクセスや位置情報の取得権限を要求する。しかし、連絡先の読み取りなどは要求していないので、あまり心配はいらないだろう。

重要な情報を管理するアプリはインターネットアクセス権限不要のものを探そう

「完全なインターネットアクセス」パーミッションは、単体では大した悪用はできないが、「連絡先データの読み取り」などの権限も要求している場合は、情報の漏洩に悪用される恐れがあるので注意が必要だ。また、パスワード管理などのアプリでも、登録した重要な情報を漏洩される恐れがある。
このような重要な情報を扱うアプリを使いたい場合は、インターネットアクセス権限を要求しないアプリを探すようにしよう。

permission_108これはパスワード管理アプリだが、「完全なインターネットアクセス」を要求しているので、悪意のあるコードが仕込まれていたり、インターネット側から脆弱性を突くコードを送り込まれたりして、保存したパスワードを漏洩されるのではないかと心配だ。

permission_109こちらのパスワード管理アプリは、インターネットアクセス権限が不要だ。説明でも「Does not require internet access」と強調しているなど、信頼性に気を使っている様子がうかがえる。

メディアプレイヤーは「端末のステータスと ID の読み取り」を使うことがある

使い道のよく分からないパーミッションを要求するほかの例としては、音楽や動画を再生するアプリが「端末のステータスと ID の読み取り」を使うケースがある。これは、電話がかかってきたときに再生を自動停止する機能を実現するためのものだ。
しかし、このパーミッションでは通話相手の電話番号の取得まで許可されてしまうため、悪用されると知人の電話番号を流出されたりする恐れがある。このパーミッションをインターネットアクセスやSMS送信などのパーミッションと共に要求しているアプリは、なるべく避けたほうがいいだろう。
ネット上の動画や音楽の視聴するアプリなど、インターネットアクセスとの同時許可を避けられないジャンルのアプリの場合は、信頼できるかどうかを十分に確認してからインストールしよう。

permission_110この音楽プレイヤーは、「端末のステータスと ID の読み取り」や「完全なインターネットアクセス」だけでなく、「連絡先データの読み取り」まで要求している。着信音の設定機能を実現するためのようだが、単に音楽を聴きたいだけならほかのアプリを探したほうがいいだろう。

Android1.5以前に対応しているアプリをインストールすると権限が追加される

一部のアプリでは、アプリ情報のページには表示されていなかった「SDカードのコンテンツを修正/削除する」と「携帯のステータスとIDの読み取り」のパーミッションが、インストール後にいつの間にか追加されていることがある。これは、古いバージョンのAndroidとの互換性を保つための正常な動作で、Androidがクラックされたりしたわけではないので安心しよう。
バージョンが1.5以前のAndroidでは、これらの処理は許可を与えられなくても実行できたため、Android1.5以前向けに作られたアプリはパーミッションの要求無しでこれらの動作を行なうように作られている。それをAndroid1.6以降にインストールしたときに、パーミッションが定義されていないからと言ってこれらの動作をブロックしてしまうと不具合が生じるので、自動的に許可するようになっているのだ。
「完全なインターネットアクセス」などのパーミッションをあわせて利用されると、悪用される恐れがあるので、Android1.5に対応しているアプリは、念のため信頼性を十分に確認してからインストールするようにしよう。

permission_111アプリが対象とするAndroidのバージョンは、マーケットのアプリ情報ページの右サイドバーの「Android要件」という所に表示される。

permission_112Android1.5以前に対応したアプリをインストールすると、アプリ情報ページには表示されていなかった権限が追加される。

関連記事

2011年08月26日23時19分 公開 | カテゴリー: セキュリティ | キーワード: | Short URL
このエントリーをはてなブックマークに追加

最新記事