2018年03月26日 11時30分ネットサービス

FacebookはAndroid端末においてテキストメッセージや通話記録を収集していることが話題に

By Christopher

Android向けに提供されているFacebookアプリとFacebookメッセンジャーアプリが、ユーザーが本来は認証していなかったはずのデータにアクセスしていたことが判明しています。あるユーザーはFacebookが知っているはずのない過去の通話記録がFacebookに蓄積されているデータの中に含まれていることを発見しました。

Facebook scraped call, text message data for years from Android phones | Ars Technica
https://arstechnica.com/information-technology/2018/03/facebook-scraped-call-text-message-data-for-years-from-android-phones/

Facebook has been collecting call history and SMS data from Android devices - The Verge
https://www.theverge.com/2018/3/25/17160944/facebook-call-history-sms-data-collection-android

Facebookのプラットフォームでは、Facebook側が保持しているユーザーに関するデータを一括でダウンロードして中身を見ることが可能です。ニュージーランド在住のディラン・マッケイさんが実際にデータをダウンロードしてみたところ、その中には自分では認証したつもりがなかった電話の通話記録の情報が保存されていたとのこと。マッケイさんは「Facebookは何らかの方法で、僕のパートナーのお母さんとの全ての通話履歴を手に入れているようだ」というコメントとともに、記録が表示された画面をツイートしています。

Downloaded my facebook data as a ZIP file

Somehow it has my entire call history with my partner's mum pic.twitter.com/CIRUguf4vD
— Dylan McKay (@dylanmckaynz)

画面には、発信・着信・不在の種別、通話開始時間、通話時間、相手の名前などが表示されています。

マッケイさんはまた、端末でやり取りしたテキストメッセージの履歴が残っていることもツイート。これも、Facebookアプリに対して認証した記憶のないものだったそうです。

My grandmother emailed me this from her data dump

sorry for the potato quality (read: what is a screenshot)

has a number of SMS records, spanning 2015-2017 claims to not use facebook or messenger apps, I have not verified this though pic.twitter.com/Nax5aBUeWQ
— Dylan McKay (@dylanmckaynz)

スマートフォンアプリが個人の連絡先や通話記録などのデータにアクセスする際には、事前にユーザーの認証を求めてくることが普通です。しかし、OSが古いバージョンのAndroid端末では認証に関する構造に起因して、Facebookアプリで認証していなかったはずのデータへのアクセスが通るという出来事が発生している模様。その背景には、同じくFacebookが提供している「メッセンジャー」アプリのとの関連があるとみられています。

Ars Technicaからの問い合わせに対し、Facebookの広報担当者は「アプリおよびサービスの最も重要な点は、『つながりたい』と思っている人を簡単に見つけられるようにするところにあります。したがって、お使いの端末から初めてFacebookアプリやメッセンジャーアプリなどにサインインした段階で、端末内の連絡先情報をアップロードするというのは広く用いられているものです」と返信してきたとのこと。

By Eduardo Woo

またこの広報担当者は、連絡先情報のアップロードは必須ではなく、実際にデータにアクセスする際にはユーザーに認証を求めているという点を強調しています。また、アップロード済みのデータはウェブブラウザ版Facebookの設定ページから削除することが可能になっていると説明しています。

Ars Technicaによると、Facebookは端末内の連絡先情報をもとに、「知り合いでは？」と知人の存在を通知するアルゴリズムを運用しています。比較的新しいバージョンのAndroid版メッセンジャーアプリやFacebook Liteアプリでは、ユーザー端末の連絡先情報や通話記録、SMS情報にアプリがアクセスする際の認証確認がより厳格化されていますが、過去数年間はAndroid OSの認証に関する仕様の影響もあり、この認証の区分けが比較的に緩い状態が続いていたことで、本来であれば認証していなかったはずのデータへのアクセス要求が通っていたという実績があります。

By Michael Coghlan

Android 4.1 Jelly Bean以前の段階で、FacebookアプリをAndroid端末にインストールする際に連絡先情報へのアクセスを認証していた場合、その認証は通話記録やメッセージのログへのアクセスをも認証していた状態になっていたとのこと。Android APIのバージョン16以降では認証の構造が見直されたために個別の認証が必要となったのですが、その場合でもあえて古いAPIを使うプログラムを書くことで、その制限を回避できる「裏技」があったといいます。Facebookによる通話記録のデータ取得が問題になった2017年にGoogleは古いAPIを使用することをとがめる方針を発表しています。なお、AppleのiOSは、このような意図せぬ認証が行われる構造にはなっていないとのことです。

Facebookではプラットフォーム上に保存されているユーザーの連絡先情報などを消去できる仕組みを提供しています。しかし、Ars Technicaのショーン・ギャラガー記者が実際に連絡先情報をFacebookから削除し、翌日ふたたびアーカイブデータをダウンロードしてみたところ、消したはずのデータがまだ残されている状態になっていたとのことです。

なお、Facebookに保存されているデータは、ウェブブラウザからFacebookにアクセスし、「設定」画面の下部にあるリンクをクリックすることで取得が可能です。