Android用の人気ファイラである「ESファイルエクスプローラー」が外部のサーバーに勝手に接続し、端末などの情報を送信している疑惑が持ち上がり話題となっています(モバイルタンク4、AppLab)。
記事によると、ESファイルエクスプローラーは起動時に、ユーザーの識別情報等を不正にBaiduのサーバーに送信しているとのこと。
根拠として、ネットエージェントが運営するAndroidアプリの危険性を判定するサイト「Secroid」での判定や、実際に通信情報を確認したログなどが挙げられています。
Secroidの判定
まず、Androidアプリの潜在リスクをチェックすることができるサイトSecroidでの判定結果です。
危険性は「HIGH」に判定されています。このサイト自体の信頼性も一部疑問視されているようですが、目安にはなりそうです。
パケットキャプチャでも
Twitterで実際に通信をキャプチャしている方がいました。
確かに、通信をキャプチャしてみると、初回起動時に http://t.co/rALZk7PN2n に対してgzipファイルを送信しようとする。展開してみるとIMEIなどの端末情報が書かれていた。 > ES ファイルエクスプローラー pic.twitter.com/3qxccYeQQs
— うそぶく (@usobuku) 2014, 8月 9
「http://hmma.baidu.com/」に対してgzipを送信しようと試みていて、そのgzipファイルの中に端末情報が書かれていたということ。
実際に確認してみた
Nexus 7(2012)でESファイルエクスプローラーV3.1.9を使い、MacにCharlesプロキシをセットアップして通信をインターセプトして確認してみました。
↑やはり起動時に「http://hmma.baidu.com/」のapp.gifに対してPOSTしていることが確認できました。Content-Typeはgzipとなっています。試しに解凍してみると…。
↑数字っぽいところは一応塗りつぶしてみました(汗。
やはり何か情報を送信していることは確からしい?パケットキャプチャしなくても、プロキシーサーバーで簡単に確認できるので実際に確認してみると良いと思います(Mac/Windows/Linuxなどにプロキシーサーバを設置し、Androidでそのプロキシーサーバーを利用するように無線を設定する)。
とりあえず使わない方が無難か
ESファイルエクスプローラーはAndroid用の定番ファイラとして人気のソフトだったので、不正通信疑惑でショックを受けている人が多いかもしれません(私も使っていたわけですが…)。どのような目的で何の情報を送信しているのか分かりませんが、気になる方は使うのを控えておいたほうがいいのかもしれません。
