TokyoBlackHatNews

cyberpress.org 4分で読了

プリインストールされたMotorola製アプリがAmazonを乗っ取りアフィリエイトコードを注入

Motorolaスマートフォンに隠されたプリインストール済みシステムアプリが、Amazonアプリの起動をひそかに傍受し、ユーザーをサードパーティのアフィリエイトURLへ誘導することで、ユーザーの認識や同意なしに購入手数料を不正に取得していたことが明らかになりました。

この問題は、Motorola Razr 60 Ultraで異常な動作に気づいたRedditユーザーがr/Androidフォーラムに投稿したことで最初に報告されました。

アプリドロワーからAmazonのアイコンをタップすると、アプリが直接起動する代わりに、デバイスが一時的に不審なURLを指すブラウザウィンドウを開いた後、アフィリエイトコードが付加されたAmazonへリダイレクトされることが確認されました。

ネットワークトラフィック解析により、デバイスがMotorola関連のオンデバイス広告サービスプラットフォームであるdevicenative.comへリクエストを送信していたことが判明しました。

この傍受は、Razr 60 Ultra、Razr Fold、Moto Edgeシリーズなどのデバイスにバンドルされた隠しシステムアプリ、Motorolaのプリインストール済みSmart Feedアプリ(com.motorola.smartfeed)に起因することが突き止められました。

ADB logcatのログにより攻撃の連鎖が確認されました。Smart FeedコンポーネントSSS4_OnBoardActivityがAmazonアプリの起動インテントを捕捉し、SSS4_DNAHelper経由でローカルのアフィリエイトキャッシュに問い合わせた後、com.motorola.smartfeed.action.HANDLE_CLICK経由でブラウザリダイレクトを実行し、ファッションインフルエンサーに関連するドメインkira-abboud.comにリンクされた注入済みアフィリエイトコードを付加したAmazonを読み込みます。

注入されたアフィリエイトタグ「sramz-kff-008-20」により、非公開のサードパーティが、影響を受けたユーザーによるすべてのAmazon購入から手数料を取得できる状態になっていました。

この悪意ある動作はSmart Feedバージョン2.03.0070で初めて導入されたものであり、以前のバージョンv2.03.0056にはこの動作は見られないことから、特定のアップデートによってこの問題が持ち込まれたことが確認されました。

特筆すべき点として、このリダイレクトはAmazonをアプリドロワーから起動した場合にのみ発動し、ホーム画面のショートカットからは発動しません。この微妙な違いが、ユーザーに気づかれることなく約1か月間この仕組みが検出を逃れる一因となりました。

Moto F StylusとMoto Edge 50 Proはいずれも同じSmart Feedバージョンを搭載しているにもかかわらず影響を受けていないとされており、この動作がデバイス固有のものであることが示唆されるとr/Androidは伝えています

Motorolaは9to5GoogleおよびAndroid Authorityに対して声明を発表し、この動作は「意図しないもの」であるとし、Motoランチャー向けのアプリ検索・提案エクスペリエンス構築を目的としたDevice Nativeとのパートナーシップが誤作動したことによるものだと説明しました。

同社は「ルーティング設定を迅速に修正した」と述べており、現在はすべてのアプリが意図通りに直接起動するはずだとしています。

セキュリティ研究者やユーザーの間では依然として懐疑的な見方が多く、ブラウザ拡張機能がクリエイターのアフィリエイトコードをひそかに置き換えていた2024年のHoney/PayPalアフィリエイト乗っ取りスキャンダルとの直接的な類似点を指摘する声が多く上がっています。

影響を受けるMotorolaデバイスのユーザーは、設定 > アプリに移動し、システムアプリの表示を有効にして「Smart Feed」を検索し、無効化を選択することでSmart Feedアプリを無効にできます。

上級ユーザーは、ワイヤレスデバッグ経由でShizukuとCantaを組み合わせることで、デバイスをrootせずにcom.motorola.smartfeedを完全にアンインストールすることができます。

NextDNSやAdGuardなどのツールを使用してDNSレベルでdevicenative.comをブロックすることで、Motorolaの広告配信バックエンドへのトラッキングコールバックを防ぐことも可能です。

さらに、デフォルトアプリの設定からAmazonの「対応リンクを開く」設定を無効にすることで、将来的なリダイレクトベースの傍受に対する保護をさらに強化できます。

翻訳元: https://cyberpress.org/preinstalled-motorola-app-hijacks-amazon/

ソース: cyberpress.org
#Amazon #Androidセキュリティ #Motorola #Smart Feed #アドウェア #アフィリエイト詐欺 #スマートフォンセキュリティ #プライバシー侵害 #プリインストールアプリ #不正リダイレクト

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に