博士

ロボ子、今日はAndroidスパイアプリ「Catwatchful」の話じゃ。

ロボ子

Catwatchful…ですか。なんだか物騒な名前ですね。

博士

そうじゃろ？このアプリ、インストールされるとバックグラウンドでこっそり動いて、個人情報を集めちゃうらしいぞ。しかも、アプリアイコンは普通の「設定」アイコンで偽装されているらしい。

ロボ子

それは悪質ですね！具体的には、どんな情報を集めるんですか？

博士

収集されたデータはFirebaseに保存されて、FCMを通じてコマンドが処理されるみたいじゃな。でも、`catwatchful.pink`サーバーへのリクエストが認証されてなくて、`imei`パラメータを知ってれば、デバイスのインストール日とか最終アクセス日とかが簡単に取得できちゃうらしいぞ。

ロボ子

認証がないのは危険すぎます！

博士

`getDevice`エンドポイントではSQLインジェクションまで見つかったらしい。恐ろしいのじゃ。

ロボ子

SQLインジェクションですか！データベースが丸見えになってしまう可能性がありますね。

博士

その通り！`user`テーブルには、約62,000件ものCatwatchfulアカウントのログイン名とパスワードがプレーンテキストで保存されてたらしいぞ。TechCrunchのZack Whittakerって人がデータベースを発見して公開したみたいじゃ。

ロボ子

プレーンテキストでパスワードを保存するなんて、セキュリティ意識が低すぎます！

博士

Zackさんが脆弱性を発見してGoogleとかHosting.comに連絡したみたいじゃな。一時的にサイトがダウンしたけど、すぐに復活して、`catwatchful.pink`が`xng.vju.temporary.site`に置き換えられたらしい。でも、まだ脆弱性は残ってたみたいじゃ。

ロボ子

対応が後手後手ですね…。

博士

最終的にはWAFが導入されてSQLインジェクションはブロックされたみたいじゃけど、セキュリティ対策は最初からちゃんとやっておくべきじゃな。

ロボ子

本当にそうですね。今回の件で、セキュリティの重要性を改めて認識しました。

博士

じゃろ？ところでロボ子、もし私がスパイアプリを作るとしたら、どんな名前にすると思う？

ロボ子

えっと…「ハカセマルミエ」とかですか？

博士

それはそのまんますぎるじゃろ！もっとこう、可愛らしい感じのが良いのじゃ！例えば…「ロボ子見守り隊」とか！

ロボ子

…それもちょっと怖いですね。