中国アプリから個人情報を守る@Android

スマホ
この記事は約5分で読めます。

あなたのいつ・どこで・なにを見ている

中国で大量に出回るモバイルアプリ。QQやWeChatはもちろん、タクシーやホテルの予約から銀行や証券まで多種多様。モバイル文化の強い中国を象徴しているが、それら中国アプリが取得している権限を確認しているだろうか。適切な処置を講じないと、個人情報が筒抜けだ。対策をご紹介。

アクセス許可確認していますか?

Google Play Storeや中国のアプリストアから取得したモバイルアプリをインストールすると、こんな画面が出てきて同意を求められる。

中国アプリから身を守る@Android-インストール時のアクセス許可

これはGoogleがセキュリティの観点から、インストールする場合にこのアプリがどういった権限を取得しようとしているのか?を表示しているのだ。

これをしっかりと見る人はどのくらいいるのだろうか。おそらくだが、みんな読み飛ばしていないだろうか?また、リスク承知でアプリを使う場合でも、付与する権限を最低限にして動かす方がリスクを最小化できるのだ。

権限管理を適切にしてリスクを最小化

このアプリに許可した内容は、インストール後でも確認ができる。手元にあるアプリを見てみると、なぜそんなアクセス許可が必要なのか?というものも少なくない。たとえば、CMB(招商銀行)のモバイルアプリ。

以下が実際のスクリーンショットだ。

中国アプリから身を守る@Android-CMBのアクセス許可内容

銀行のモバイルアプリは標準で以下のようなアクセスを求めてくる。

  • カメラ(QRなどバーコード対応?)
  • アプリケーション情報
  • 連絡帳(振込先の情報をコピーするため?)
  • 位置情報(最寄りの店舗を検索するため?)
  • SMS
  • マイク
  • ストレージ
  • 電話

位置情報などは、最寄りの銀行を表示する機能で使うかもしれない。連絡帳は、振込先または受取人指定で使うことがあるので、まだ理解できる。最近ではQRを読み取って手続きすることもあるので、カメラも許せるかもしれない。

しかし、マイクやSMSなどは何に使うのかが理解できない。顧客がヒソヒソ話をしているのを誰かがこっそり聞いているとしたらどうだろうか。気味が悪い話だ。モバイルアプリではないが、中国製のカメラからリモート接続をされて声が聞こえるという事例もある。

中国製ネットワークカメラで乗っ取り?
ネットでセキュリティ関係の記事を見ていたら、こんなのを発見。中国製のネットワークカメラ(IPカメラ)が勝手に動いて、さらに人の声が聞こえてきたというモノ。

中国モバイルアプリの特徴として、何でもかんでもアクセスを求めてくることは多い。これは開発プラットフォーム(ソフトウェアの基礎)を使いまわししているためだろう。

中国に住む以上、中国のアプリを一切使わないのは難しいだろう。しかし、ユーザは適切に管理をして自己防衛を強くおすすめする。

権限管理のやり方(4.3以降)

そんな権限管理はどうやればいいのか?

Android4.3(2013年10月以降のモデル)からは、通常利用では見えない管理機能が実装されている。実際に利用できるようにしてくれるアプリが公開されているので、これを導入してみよう。

中国からGoogle Play Storeは規制されており開けないので別途VPNが必要であるが。

Google Play(アプリストア)を中国で使う方法
独自のAndroid圏を築く中国 Android上のアプリケーションは、Googleが提供する”Google Play”上でダウンロードするのが一般的。しかし、Googleを完全に締め出している中国では、ちょっとしたテクニックが必要なのでご...

インストールは他のアプリと同じだ。Google Play Storeにアクセスし、インストールして起動するだけ。起動すると、アクセスする種類ごとに画面が分かれている。その中からアクセス許可を変更したいアプリケーションを選択し、変更するだけだ。

中国アプリから身を守る@Android-CMBのアクセス範囲を制限

たとえば、CMBであればクリップボード(文字のコピーや貼付け)と通知だけあれば十分だ。マイクやショートメッセージの読み取りはしてほしくないので、すべてOFFにしてやればいい。

設定画面を見るとわかるのだが、使ってもいないのにアクセス許可を求めているのだからたちが悪い。同じくらいたちが悪い百度地図も制限を掛けておく。

中国アプリから身を守る@Android

地図アプリなのに、設定を勝手に変えたり、連絡帳を見たり…と行儀が非常に悪い。百度地図は、勝手に位置情報を記録している。足あと機能の一貫みたいだが、これがオフにできない。使いたい時だけONにして、それ以外の時はOFFにする運用でもいいかもしれない。

権限管理のやり方(7.0以降)

2016年8月にリリースされたAndroid 7以降ではアプリ画面にパーミッション設定画面が個別に用意されている。ここでアプリ別または権限別に設定を細かくできる。

アプリケーション別権限

Settings(設定)→Apps(アプリケーション)でそれぞれ確認ができる。たとえば、中国版ニコニコ動画であるビリビリを見てみるとストレージへのアクセス権限を持っているのがわかる。

Permissions(権限・許可)をさらにクリックすると詳細が見られる。一般には必要のないことだが、権限許可をさらに与えることもできる。

権限種類別

インストールしているアプリが増えれば増えるほど、個別に権限を管理するのは難しい。その場合は、権限の種類別にアプリを表示することができる。

よく使う画面はこちらだろう。注意しておきたいのは、Location(GPS情報)とマイク、カメラあたりだろうか。特にLocation情報を常に許可しておくと、自分がどこをウロウロしているのかが丸見えなので削除しておくのがいい。

ちなみに、中国製スマホは出荷時にマルウェア(ウイルスの一種)に感染しているケースもあり、その場合は手も足も出ないこともある。

HuaweiやXiaomi、OPPOなど、中国大手ベンダーの一部Androidスマートフォンを中心として、マルウェア「RottenSys」がプリインストールされた状態で販売されていたことが分かりました。

Huaweiなど500万台近くのAndroidスマホがマルウェア搭載で販売されていた

マルウェアに感染していたこの事件はひどい部類であるが、意図的に個人情報を中国にあるサーバに送信しているケースも後を絶たない。

中国スマホで個人情報筒抜け
アプリだけでなくOSも… 以前から当サイトでは、繰り返し中国製アプリのセキュリティ上の懸念(正確には害悪)を警告してきた。中国製スマホで個人情報を勝手に送信で大騒ぎになっているのでご紹介。

中国製アプリ=リスクということをよくよく認識して付き合いたいものである。参考になれば幸いだ。

コメント

  1. 鳳梨de中國 より:

    にっしーさん

    コメントありがとうございます。
    おもしろおかしく書いてますが、正直言うと、中国製アプリは信用できないが本音です。
    開発者がイロイロな会社に移動していて、開発手法を持ち歩いているので、どこの会社が開発したアプリであろうと似たような挙動します。
    おまけに、開発者もすぐに百度で検索したコードを(理解もせずに…)コピペして開発するのが現状なので、先日のウイルス騒ぎもこの流れの延長だと思います。
    さらに言うと、いくら通信経路が暗号化されても、接続先のアプリ自体やHuaweiのような中華製端末は常にバックドア疑惑があります。
    このため、アメリカでは同社の製品を通信インフラから外すように決定受けています。
    記事の内容は気持ち程度に見られたほうがいいです。さもないと、中国製のスマホで中国にいる事自体がリスキーなので、心が病んでしまいます(苦笑)

  2. にっしー より:

    自分が使っているHUAWEIという携帯は最初から権限の設定ができます。位置情報のアクセスは禁止してますが他にも禁止した方がいい権限というのはありますか?

タイトルとURLをコピーしました