iOSバージョンとAndroidバージョンの両方でリリースされ、スキャンアプリとして有名なCamScannerのAndroid版にマルウェアが混入されていることがKasperskyの調査によって明らかになりました。
CamScannerは様々な用途に使用できるスキャナアプリで、教科書などのページをPDF化したり、紙のプリントをPDFでデジタル保存することが可能です。2012年にはiTunesの仕事効率化アプリ部門のアワードにノミネートされる実績もありした。
目次
広告配信用のSDKに問題があった
今回の問題の原因となったのは広告配信用のSDKだと判明しており、AdHubという業者が提供するものでした。
SDKに含まれていたのは「Trojan-Dropper.AndroidOS.Necro.n.」というドロッパーで、これは不正コードを投下(ドロップ)し、悪意のあるモジュールを強制的にインストールできてしまうものです。
悪意のあるモジュールがスマートフォンにインストールされてしまった場合、表示される広告が外部から不正に操作されてしまったり、スマートフォン内でユーザーの知らない間に課金サービスに登録されてしまうなどのトラブルが起きる可能性があるといいます。このほかにも様々な操作を悪意のある人間ができてしまうとのことでした。
データの流出はないという調査結果が発表
CamScannerのデベロッパー(開発元)であるINTSIG Information Co.,Ltdは今回の問題について、自社でアプリの調査を行った上でデータの流出と思われるものは一切見つけることができなかったと発表しています。
ただし、不審なSDKによってマルウェアの混入トラブルを起こしてしまったことは事実であり、今後はCamScannerが安全なアプリであり続けるとは言い切れないでしょう。
無料バージョンでのみ発見された
CamScannerには有料バージョンと無料のバージョンがそれぞれ存在し、アプリが別々に分かれているのが特徴です。今回マルウェアの混入が発覚したのは無料バージョンで、ユーザー数全体の多くを占めているものです。なお、危険性があるとして報告されたのはバージョン5.11.7です。
有料バージョンへのマルウェア混入は一切報告されておらず、セキュリティに問題ないとKasperskyは伝えています。
Googleへ報告後、GoogleはPlayストアから無料バージョンのCamScannerを削除していることも分かっています。9月2日時点では有料バージョンを含むその他のアプリはまだPlayストアに残っており、合計で7つのアプリが公開されている状況です。
デベロッパーが修正版のAPKを公式公開 - ダウンロードリンクあり
8月30日には、INTSIG Information Co.,LtdがAPKMirrorで公式にAPKを公開しました。この修正版では、Googleから認証を受けていない全ての広告配信用SDKを削除することで安全を確保していると報告されています。
マルウェアのトラブルは修正されたものの、念のため筆者はスマートフォンからアンインストールすることにしました。
「INTSIG Information Co.,Ltd」が公開しているAPKだけが修正版です。それ以外のものはマルウェアの問題が修正されていない場合があります。注意してください。
おすすめ代替アプリ: Simple Scan
代替アプリとして様々なスキャンアプリを試しましたが、一番使いやすかったのがSimple Scanでした。明度・彩度の自動修正が優秀で文章の保存・PDF化・共有がスムーズでした。
レビュー平均点も4.8で高い評価を受けています。
Source:CamSccaner, Kaspersky
CamScanner…使いやすかっただけにこんなことになって残念だ