2019年07月09日 13時30分 セキュリティ

1000以上のAndroidアプリが無断であなたの個人情報を盗んでいる、「許可しない」にしていてもダメ

by rawpixel.com



Androidアプリを使う時に「追跡を許可しない」と設定すると、アプリに位置データは提供されないと思うのが当然ですが、新たな研究によって、何千というAndroidアプリがAndroidのシステムを欺いてユーザーが許可していないにも関わらずデータを収集していることがわかりました。



50 Ways to Leak Your Data: An Exploration of Apps’ Circumvention of the Android Permissions System - Submitted to FTC PrivacyCon2019

https://www.ftc.gov/system/files/documents/public_events/1415032/privacycon2019_serge_egelman.pdf



More Than 1,000 Android Apps Steal Your Data Without Permission | Tom’s Guide

https://www.tomsguide.com/news/more-than-1000-android-apps-steal-your-data-without-permission



Thousands of Android apps can track your phone — even if you deny permissions - The Verge

https://www.theverge.com/2019/7/8/20686514/android-covert-channel-permissions-data-collection-imei-ssid-location





研究者が約8万8000個以上のAndroidアプリを調べたところ、少なくとも1325個のアプリがコンバートチャネルやサイドチャネルを使って、ユーザーの許諾なしで個人情報にアクセスしていることがわかりました。「この調査結果の影響を受けるユーザーは数億人にのぼる可能性がある」と研究者は述べています。



研究者はこのような行為を行っているアプリを名指ししており、例えば写真加工アプリの「Shutterfly」はユーザーの許可を得ることなく写真のEXIFデータからユーザーのGPS座標を自社サーバーに送っており、香港のディズニーランドのアプリはスマートフォンのIDにアクセスできることがわかっています。なお、ShutterflyはCNETに対してユーザーの許可なしにデータを収集していたことを否定。ディズニーランドのアプリに関してテクノロジー系ニュースサイトのTom’s Guideは「ディズニーはこのことを知らなかった可能性がある」と記しています。



by henry perks



Androidスマートフォンにインストールされている、全く関連のない2つのアプリでも、SDK(ソフトウェア開発キット)は同じものが使用されていることがあります。このため、ユーザーがアプリAでデータ共有を許可しなかったとしても、アプリBでデータ共有されていれば、アプリBが保管するデータをアプリAが見ることが可能になるとのこと。これについてIT系ニュースサイトのThe Vergeは「母親にお菓子を求めて断られた子どもが、父親にお菓子を求めにいくようなもの」と例えています。



調査から、無断でデータを収集しているSamsungやディズニーのアプリは中国の検索エンジンであるBaiduとデータ解析企業のSalmonadsによって構築されたSDKを使っていることがわかっています。研究者はこのSDKを使っているいくつかのアプリがユーザーの気づかぬうちにデータを取得しようとしている可能性があるとみています。



研究者は2018年9月時点で脆弱性についてGoogleに報告済みであり、2019年夏にリリース予定の「Android 10 Q」ではこのような手法を使うことが難しくなります。一方で、AndroidではOSの断片化が激しく全てのAndroidユーザーが最新OSを使っているわけではないため、多くのAndroidユーザーがこの脆弱性にさらされたままになる可能性が残されています。研究者はセキュリティアップデートで修正プログラムを提供するといった別の対策を講じるべきだと考えているとのことです。