1,000 を超える Android アプリが許可なくデータを収集しています
新しい調査研究Google Play ストアで入手可能な 1,000 以上の Android アプリが、メッセージ、通話記録、写真などの個人データを盗む許可に違反していたことが明らかになりました。
この研究を行ったカリフォルニア大学バークレー校の国際コンピュータ科学研究所(ICSI)の研究者らは、米国のGoogle Playストアにある8万8000のアプリをテストしたところ、1325のアプリが位置情報データと電話識別子に関する情報を収集していることを発見した。
関連している-最高の無料 Android アプリ 10 選
米連邦取引委員会(FTC)のウェブサイトに掲載された調査では、Samsung Health、SamsungのBrowser、Shutterfly、ディズニーの香港ディズニーランドパークアプリを含む153のアプリが明示的な許可なくデータを収集していたことが引用されている。
「最新のスマートフォン プラットフォームは、機密データやシステム リソースへのアクセスを保護するために、許可ベースのモデルを実装しています。しかし、アプリは秘密チャネルとサイドチャネルの両方を使用することで、許可モデルを回避し、ユーザーの同意なしに保護されたデータにアクセスできる可能性があります」と研究者らは広範なレポートで述べています。
「許可システムの実装に存在するサイドチャネルにより、アプリは保護されたデータやシステムリソースに許可なくアクセスできます。一方、秘密チャネルを使用すると、共謀する 2 つのアプリ間の通信が可能になり、あるアプリがアクセス許可で保護されたデータを、それらのアクセス許可を持たない別のアプリと共有できるようになります。どちらもユーザーのプライバシーに対する脅威となります。」
たとえば、写真の編集に使用される写真共有 Web サイトである Shutterfly が、ユーザーが位置データへのアクセスをアプリに許可したか拒否したかに関係なく、携帯電話から GPS データを収集し、独自のサーバーに送信していることを研究者らは発見しました。
「多くの写真サービスと同様に、Shutterfly はこのデータを使用して、分類やパーソナライズされた製品の提案などの機能によるユーザー エクスペリエンスを向上させます。これらはすべて、Shutterfly のプライバシー ポリシーおよび Android 開発者契約に従っています」と同社は声明で述べた。研究では、許可を与えた人の GPS データのみを収集することが明らかになりました。
香港ディズニーランドの場合、アプリが携帯電話のIMEI情報を保存する秘密チャネルとしてSDカードを使用していたことが判明した。 13 のアプリがこの秘密チャネルを悪用して IMEI 情報を取得していることが判明しましたが、これらのアプリは 1,700 万回以上インストールされました。
「これらの調査結果によって影響を受ける潜在的なユーザーの数は数億人に上ります。これらの欺瞞的な慣行により、開発者は同意なしにユーザーの個人データにアクセスすることができ、ユーザーのプライバシーが侵害され、法的および倫理的な懸念が生じます」と研究者らは書いている。
「ヨーロッパの一般データ保護規則 (GDPR)、カリフォルニア州消費者プライバシー法 (CCPA)、および連邦取引委員会法などの消費者保護法を含む世界中のデータ保護法は、データの収集、処理、そしてモバイルアプリケーションの実践を共有することです。」
昨年 9 月に調査結果を Google に報告した研究者らは、その一部は今年リリース予定の次期 Android Q オペレーティング システムで修正される可能性があると述べています。これは、Android Q アップデートを受け取っていない一部の古いスマートフォン ユーザーが引き続き問題に直面し、携帯電話が脆弱になることを意味します。
「これらの慣行を明らかにし、データを公開することで、規制当局が法執行措置を講じ、業界がアプリをリリースする前に問題を特定して修正できるように、また消費者が使用するアプリについて十分な情報に基づいた意思決定ができるように、十分なデータとツールを提供したいと考えています。 」と研究者らは述べた。
研究者らは、Googleはこれらのプライバシー問題を深刻なセキュリティ上の脆弱性として考慮し、権限の機能をアップグレードする必要があると示唆している。
こちらもお読みください-Android スマートフォン向けの最高の無料アンチウイルス
