マカフィーは11月22日、日本のユーザーを狙った、電話番号を密かに盗むAndroidチャットアプリをGoogle Playで発見したことを発表した。2つの不審なチャットアプリが公開されていた模様だ。 それによるとこれらのアプリは、「登録不要」かつ無料で使用できると説明されているが、実際には、端末の電話番号を勝手に取得し、ユーザーへの事前通知および承諾確認を行わずに、密かに開発者が管理するWebサーバへ送信しているという。また、このチャットサービス自体、チャット接続に成功したことがなく、本当に機能するのか不明とのこと。 なお、電話番号詐取機能の実装にはJavaScriptが用いられていた。電話番号を取得するための独自JavaScriptオブジェクトを実装し、AndroidアプリのWebView上だけでなく通常のWebブラウザから読み込まれた場合でも動作するようになっていた。 送信機能の主な部分が、アプリ本体(APK)内ではなく、サーバサイドのHTML/JavaScriptコードで実装されていた点について、解析・検出が通常よりも困難なため、近い将来リスクが増加する可能性があるとして、マカフィーでは注意を呼びかけている。
