Androidアプリは許可を拒否された後もユーザーデータを収集している

1,000以上のAndroidアプリが許可なしにあなたのデータを収集している

新しい研究によると、Google Playストアで入手可能な1,000以上のAndroidアプリが、メッセージ、通話履歴、写真などのプライベートデータを盗むために許可を違反していることが明らかになりました。

この研究を行ったUCバークレーの国際コンピュータ科学研究所（ICSI）の研究者たちは、米国のGoogle Playストアから88,000のアプリをテストし、1,325のアプリが位置情報データや電話識別子に関する情報を収集していることを発見しました。

関連 - 最高の無料Androidアプリ10選

連邦取引委員会（FTC）のウェブサイトに掲載されたこの研究では、Samsung Health、Samsungのブラウザ、Shutterfly、Disneyの香港ディズニーランドアプリなど、明示的な許可なしにデータを収集した153のアプリが引用されています。

「現代のスマートフォンプラットフォームは、敏感なデータやシステムリソースへのアクセスを保護するために、許可ベースのモデルを実装しています。しかし、アプリは許可モデルを回避し、ユーザーの同意なしに保護されたデータにアクセスすることができます」と研究者たちは詳細な報告書に記載しています。

「許可システムの実装に存在するサイドチャネルは、アプリが許可なしに保護されたデータやシステムリソースにアクセスすることを可能にします。一方、コバートチャネルは、2つの共謀するアプリ間の通信を可能にし、1つのアプリが別のアプリに対して許可されたデータを共有できるようにします。どちらもユーザーのプライバシーに対する脅威をもたらします。」

例えば、研究者たちは、写真を編集するために使用される写真共有ウェブサイトShutterflyが、ユーザーが位置データへのアクセスを許可したか拒否したかに関係なく、モバイルフォンからGPSデータを収集し、自社のサーバーに送信していることを発見しました。

「多くの写真サービスと同様に、Shutterflyはこのデータを使用して、分類やパーソナライズされた製品提案などの機能でユーザー体験を向上させています。これはShutterflyのプライバシーポリシーおよびAndroid開発者契約に従っています」と、研究に応じた声明で同社は述べ、許可を与えたユーザーからのみGPSデータを収集していることを明確にしました。

香港ディズニーランドの場合、アプリがSDカードをコバートチャネルとして使用して電話のIMEI情報を保存していることが判明しました。13のアプリがこのコバートチャネルを利用してIMEI情報を取得していることが発見されましたが、これらのアプリは1700万回以上インストールされています。

「これらの発見によって影響を受ける潜在的なユーザーの数は数億人に上ります。これらの欺瞞的な行為は、開発者がユーザーのプライベートデータに同意なしにアクセスすることを可能にし、ユーザーのプライバシーを損なうだけでなく、法的および倫理的な懸念を引き起こします」と研究者たちは述べています。

「世界中のデータ保護法、特に欧州の一般データ保護規則（GDPR）、カリフォルニア州消費者プライバシー法（CCPA）、および連邦取引委員会法などの消費者保護法は、モバイルアプリケーションのデータ収集、処理、共有の実践に対する透明性を強制しています。」

昨年9月にGoogleに報告した研究者たちは、いくつかの問題が今年リリース予定のAndroid Qオペレーティングシステムで修正される可能性があると述べています。これは、Android Qの更新を受け取らない古いスマートフォンユーザーが問題に直面し続け、彼らの端末が脆弱な状態に置かれることを意味します。

関連 - マイクロソフトがAndroidに他のアプリをインストールするための広告を挿入している

「これらの行為を明らかにし、私たちのデータを公開することで、規制当局が執行措置を講じるための十分なデータとツールを提供し、業界がアプリをリリースする前に問題を特定して修正し、消費者が使用するアプリについて情報に基づいた意思決定を行えるようにすることを期待しています」と研究者たちは述べています。

研究者たちは、Googleがこれらのプライバシー問題を深刻なセキュリティ脆弱性と見なし、許可の機能をアップグレードする必要があると提案しています。

また読む - Androidスマートフォン向けの最高の無料アンチウイルス