iPhoneで複数の人気アプリが無断でユーザーの画面を記録している

by Daniel Korpai

iPhoneアプリの開発者の中には、アプリ上で行われるタップやスワイプといった動作を記録し、その情報を売却して金銭を得ている人もいます。このような「ユーザー情報を収集する行為」は、ほとんどの場合、ユーザーへその事実を伝えることなく行われるものです。海外メディアのTechCrunchは、この種のユーザーを裏切るような情報収集が、人気の高いiPhoneアプリ上でも行われていると報じています。

Many popular iPhone apps secretly record your screen without asking | TechCrunch
https://techcrunch.com/2019/02/06/iphone-session-replay-screenshots/

ファッションブランドのAbercrombie＆Fitchやホテル予約サービスのホテルズドットコム、航空会社のシンガポール航空がリリースする公式アプリは、「セッションリプレイ」技術を用いてユーザーがどのような行動をとっていたのかを記録するために「Glassbox」のツールをアプリの中に組み込んでいるそうです。

セッションリプレイを使えば、開発者はユーザーがアプリ上でどのような行動をとっていたのかを確認することが可能となり、通常はアプリのどの機能がうまく働いていないかなどを確認するために使用されます。セッションリプレイではアプリ上で行われたタップ・ボタンプッシュ・キーボード入力情報が、スクリーンショット撮影により記録され、これらの情報はすべて開発者側に送信されることとなっています。

Glassboxの公式Twitterアカウントが「あなたのウェブサイトやモバイルアプリ上で、顧客がリアルタイムで何をしているのか、なぜそれをしたのかを想像してみてください。これはもはや仮説的な質問ではなく、本当の可能性です。それこそがGlassboxです。あなた自身でそれを体験してみてください」とツイートしているように、Glassboxがアプリ上でのユーザーの動作を記録するツールであることは明らかです。

モバイルアプリを分析するThe App Analystは、航空会社のエア・カナダの公式iOSアプリでもGlassboxが使用されていることを発見しています。The App Analystがエア・カナダのiOSアプリを分析したところ、Glassboxが多くのスクリーンショットを撮影していることが明らかになっています。Glassboxではユーザーが機密データを入力する可能性のある部分にマスキングを施すことができるのですが、エア・カナダのアプリではこの設定がうまく行われておらず、本来隠されるべき機密情報がまる見えのままキャプチャされてしまっています。

以下のムービーはエア・カナダのiOSアプリでGlassboxがキャプチャしたスクリーンショットを並べたもの。一部の情報は黒塗りでマスキングされて隠されていますが、クレジットカード情報など、本来記録されるべきでない情報が丸見えになっているのがよくわかります。

Air Canada Session Screenshots - YouTube

なお、エア・カナダは2018年8月にデータ侵害にあい、モバイルアプリ経由で約2万人分のユーザーの個人情報が盗み出されてしまったばかりでした。

The App Analystは、「(Glassboxが意図せずクレジットカード情報などを撮影していたため)エア・カナダの従業員およびスクリーンショットデータベースにアクセスできるすべてのユーザーが、暗号化されていないクレジットカードおよびパスワード情報を見ることができるようになっている」と語っています。

アプリから送信されたデータを傍受するために使用される中間者ツールの「Charles Proxy」で、どういった種類のデータがデバイスから送信されているのかを調べたところ、Glassboxを使用しているアプリのすべてがエア・カナダのようにマスクしたデータを漏らしているわけではないことが明らかになっています。しかし、どのアプリもGlassboxを使用してユーザーの行動をスクリーンショットで記録していることを、プライバシーポリシーなどで明記していないことも判明しています。

The App Analystによると、HollisterやAbercrombie＆Fitch、シンガポール航空はユーザーの行動を撮影したスクリーンショットをGlassboxのサーバーに送信しており、Expediaやホテルズドットコムのようなサービスはスクリーンショットを自社サーバーに送信しているとのこと。これらのデータのほとんどは暗号化され解読できないように保護されているそうですが、メールアドレスや郵便番号を知ることができるケースもあるそうです。

各アプリのデータを分析しなければアプリがユーザーの画面を記録しているかどうかを知ることはできません。また、TechCrunchは「各アプリのプライバシーポリシーの細部にもそれ(ユーザーの画面を記録しているということ)を見つけることはできませんでした」と記しています。AppleのApp Storeではすべての新規アプリと更新でプライバシーポリシーが必須となりましたが、TechCrunchの調査によると、分析したアプリのどれも「ユーザー画面を記録していること」をプライバシーポリシーに明記していないとのこと。

Expediaのプライバシーポリシーにも、ホテルズドットコムのプライバシーポリシーにも、シンガポール航空のプライバシーポリシーにも、ユーザーの画面を記録するということは一切言及されていません。エア・カナダの場合、iOSアプリの利用規約にもプライバシーポリシーにもその旨を示す文章はありません。

TechCrunchがGlassboxを使用している企業にコメントを求めたところ、Abercrombie＆Fitchのスポークスマンからのみ、「顧客がデジタル体験中に遭遇する可能性のある問題を特定し、我々の対処を有効にすることで、シームレスなショッピング体験をサポートするのに(Glassboxは)役立ちます」という返答があったそうです。ただし、Abercrombie＆Fitchについてもプライバシーポリシーには「現存の、または今後開発されるアプリを通じた情報収集および情報収集の手段、ならびに情報の使用と共有については、本ポリシーで規定されています」と記されているものの、Glassboxのようなセッションリプレイツールの存在については一切言及されていません。

「Glassboxはモバイルアプリケーションの画面をビジュアル形式で再構築するという独自の機能を備えており、分析の役に立つものです。ただし、Glassbox SDKはお客様のネイティブアプリとのみ対話できるようになっており、技術的にアプリの境界を超えることは不可能です」と記しており、例えば入力画面の一部に正しくマスクがかけられていれば、Glassboxが隠された情報にアクセスすることはできないそうです。

Glassboxはあくまでも市場で出回っているセッションリプレイツールのひとつです。AppseeやUXCamなど競合ツールは複数存在しています。エア・カナダのようにセッションリプレイで記録したスクリーンショットで適切に情報のマスキングを行えていない場合、問題が発生することを企業側はしっかりと理解しており、その上でプライバシーポリシーなどにその存在を明記していないということは、「とても不気味だ」とTechCrunchは記しています。