500超の「Google Play」提供アプリが危険な広告SDKを使用

　500本を超える「Android」向けアプリが、ある広告用SDK（ソフトウェア開発キット）を介して、ユーザーの知らないうちにスパイウェアの配布に使われていたおそれがある。これらのアプリが「Google Play」ストアからダウンロードされた数は、合計で1億件以上に上る。

　モバイルアプリ（特に無料アプリ）は通常、広告用SDKを利用し、既存の広告ネットワークを通じてユーザーに広告を配信している。これにより、広告売上が生じる。

　しかし、Lookoutのセキュリティ研究者らは、多くのアプリ開発者が意図せずに「Igexin」というSDKを導入していたことを発見した。Igexinは、悪意ある活動に利用されるおそれがある。

　GoogleはIgexinの裏の機能について報告を受けており、危険にさらされたアプリはすべて、すでにGoogle Playから削除されたか、問題のSDKを取り除いた新バージョンにアップデートされた。

　研究者らは、Google Play上のアプリで具体例を2つ挙げている。写真編集アプリ「SelfieCity」（これまでのダウンロード数は500万件以上）と、「LuckyCash」というアプリ（同100万件以上）だ。Lookoutは、どちらのアプリもすでに、悪意ある行為に対して脆弱ではないことを確認している。

過去に問題のSDKを使用していたアプリ（どちらも現在では脆弱性がないことが確認されている）。
提供：Lookout

　これ以外に影響を受けたアプリには、個別のアプリ名は挙げられていないものの、10代の若者を対象としたゲームアプリ（ダウンロード数5000万件以上）のほか、天気予報アプリと写真編集アプリ（どちらも同100万～500万件）、インターネットラジオアプリ（同50万～100万件）がある。

　ほかにも、Google Playからダウンロードされたさまざまなアプリ（教育、健康とフィットネス、旅行、絵文字、ホームビデオカメラアプリなど）が危険にさらされたことが分かっている。

　詰まるところ、この広告ネットワークには、1億を超えるAndroidスマートフォンを悪意あるスパイ用デバイスに変える可能性があるということだ。