Google は Android デバイスにおいて、フィッシング詐欺やデータ盗難を目的とした悪意のあるプログレッシブウェブアプリ (PWA) や WebAPK からユーザーを保護する機能を導入する可能性が報告されました。
この情報は、Android Authority が Google Play ストアの最新版アプリ (v46.9.20-31) の APK を分解 によって発見したもので、Google Play プロテクトが、インストール時のスキャン対象を PWA と WebAPK にも拡大する可能性を示唆しています。
Play プロテクトが PWA のインストール検証を有効にするコードを発見
Android Authority の報告によると、Google Play ストアのアプリ内に以下のフラグが見つかりました。
PlayProtect__enable_gpp_install_verification_for_pwaこのコード内の「PWA」はプログレッシブウェブアプリを指しており、フラグの名前は Play プロテクトが PWA のインストール時に検証を有効にすることを示唆しています。
PWA は、ブラウザの「ホーム画面に追加」機能などを通じてデバイスにインストールできるウェブベースのアプリケーションです。特に Android の Chrome ブラウザを介してインストールすると「WebAPK」という形式になり、ホーム画面だけでなくアプリドロワーにも追加され、通常の PWA よりも深く Android システムに統合されます。
また、報告では WebAPK のスキャンを示唆するコードも発見されています。
なぜ PWA のスキャンが必要なのか
これまで Google Play プロテクトは、主にネイティブアプリを対象にスキャンを行い、ユーザーを脅威から保護してきました。しかし、PWA や WebAPK が普及するにつれて、悪意のある攻撃者がこれらをフィッシング詐欺や個人情報の窃取に悪用するケースが報告されています。
今回の新機能が実装されれば、ユーザーが悪意のある PWA や WebAPK をインストールしようとする際に、Play プロテクトが事前に検知し警告を発することで、被害を未然に防ぐことが期待できます。
実現に向けた課題と今後の展望
ただし、この機能がどのように機能するかについては、はっきりとわかっていません。
Play ストアを通じて配布されるアプリの場合、Google は膨大なアプリのデータベースを保有しており、これを基に改ざんなどの脅威を検出しています。しかし、ウェブ全体に存在する無数の PWA に対して同様のデータベースを構築することは困難と予想されます。
また、現時点では PWA と WebAPK のスキャン機能は Play プロテクトで利用できず、Google からの公式な発表もありません。
まとめ
今回発見されたコードは、Google が Android のセキュリティをウェブアプリの領域にまで拡大しようとしている可能性を示すものです。この機能が実現すれば、PWA を利用する際の安全性が向上し、ユーザーはより安心してウェブと連携したサービスを利用できるようになります。
現状ではどのように機能するかは分かりませんが、ウェブアプリがベースとなる Chromebook にも有用な機能だと思われ、今後の機能拡張などによって ChromeOS でも動作するようになるかもしれません。
とはいえ、この機能はまだ開発段階であり、正式にリリースされるかどうかは不明です。
