Androidにはアカウントマネージャという機能が用意されており、対応するアプリでは確認ダイアログの許可ボタンを押すだけでGoogleアカウントの一部機能へのアクセス許可を与えられる。パスワードの入力を行わないので手軽なだけでなく、万が一有害アプリに許可を与えてしまってもアカウント全体の乗っ取りは防げるのが利点だ。

だが、この機能を悪用してアプリを端末に自動インストールしてしまう手口が発見された。セキュリティソフトメーカーのMcAfeeによると、問題のアプリはアカウントマネージャを利用して「SID」と「LSID」の機能の使用を許可を取得した後、「Google Playストア」公式アプリの動作を模倣することで、パーミッション(権限)の確認画面などを表示することなく、アプリのインストールを実行してしまうとのこと。
許可さえ与えなければ無断インストールは防げるが、今回悪用された「SID」と「LSID」は名前だけでは何をする権限なのかが分かりづらいため、危険性に気付くことが出来ずに許可を与えてしまう恐れがある。

今回の事例では、別のアプリをインストールすること自体は事前に明示され、自動インストールされるアプリにも重大な害のある物は含まれていなかったようだが、同様の手法を利用すれば連絡先データの無断送信などを行う有害アプリを無断インストールすることも出来てしまう。

何に使うのかよく分からない権限の要求や、アプリの機能の実現に必要とは思えない権限要求が表示されても、絶対に許可を与えないように注意しよう。

なお、Googleのログインパスワードを盗まれた場合も、Web版Playストアにログインするなどして無断でアプリを遠隔インストールされる恐れがあるので、パスワードの管理にも十分に注意が必要だ。

・マカフィー株式会社 |　McAfee Blog -Google Playからアプリ自動インストールを行う危険な国内向けAndroidアプリ

問題のアプリは既にPlayストアから削除されているが、McAfeeのサイトの記事で実行の様子が解説されている。McAfeeのセキュリティソフトでは、「Android/BadInst.A」としてこのアプリの検出に対応済みとのことだ。