セキュリティ

1000以上のAndroidアプリが無断であなたの個人情報を盗んでいる、「許可しない」にしていてもダメ

by rawpixel.com

Androidアプリを使う時に「追跡を許可しない」と設定すると、アプリに位置データは提供されないと思うのが当然ですが、新たな研究によって、何千というAndroidアプリがAndroidのシステムを欺いてユーザーが許可していないにも関わらずデータを収集していることがわかりました。

50 Ways to Leak Your Data: An Exploration of Apps’ Circumvention of the Android Permissions System - Submitted to FTC PrivacyCon2019
https://www.ftc.gov/system/files/documents/public_events/1415032/privacycon2019_serge_egelman.pdf

More Than 1,000 Android Apps Steal Your Data Without Permission | Tom’s Guide
https://www.tomsguide.com/news/more-than-1000-android-apps-steal-your-data-without-permission

Thousands of Android apps can track your phone — even if you deny permissions - The Verge
https://www.theverge.com/2019/7/8/20686514/android-covert-channel-permissions-data-collection-imei-ssid-location


研究者が約8万8000個以上のAndroidアプリを調べたところ、少なくとも1325個のアプリがコンバートチャネルサイドチャネルを使って、ユーザーの許諾なしで個人情報にアクセスしていることがわかりました。「この調査結果の影響を受けるユーザーは数億人にのぼる可能性がある」と研究者は述べています。

研究者はこのような行為を行っているアプリを名指ししており、例えば写真加工アプリの「Shutterfly」はユーザーの許可を得ることなく写真のEXIFデータからユーザーのGPS座標を自社サーバーに送っており、香港のディズニーランドのアプリはスマートフォンのIDにアクセスできることがわかっています。なお、ShutterflyはCNETに対してユーザーの許可なしにデータを収集していたことを否定。ディズニーランドのアプリに関してテクノロジー系ニュースサイトのTom’s Guideは「ディズニーはこのことを知らなかった可能性がある」と記しています。

by henry perks

Androidスマートフォンにインストールされている、全く関連のない2つのアプリでも、SDK(ソフトウェア開発キット)は同じものが使用されていることがあります。このため、ユーザーがアプリAでデータ共有を許可しなかったとしても、アプリBでデータ共有されていれば、アプリBが保管するデータをアプリAが見ることが可能になるとのこと。これについてIT系ニュースサイトのThe Vergeは「母親にお菓子を求めて断られた子どもが、父親にお菓子を求めにいくようなもの」と例えています。

調査から、無断でデータを収集しているSamsungやディズニーのアプリは中国の検索エンジンであるBaiduとデータ解析企業のSalmonadsによって構築されたSDKを使っていることがわかっています。研究者はこのSDKを使っているいくつかのアプリがユーザーの気づかぬうちにデータを取得しようとしている可能性があるとみています。

研究者は2018年9月時点で脆弱性についてGoogleに報告済みであり、2019年夏にリリース予定の「Android 10 Q」ではこのような手法を使うことが難しくなります。一方で、AndroidではOSの断片化が激しく全てのAndroidユーザーが最新OSを使っているわけではないため、多くのAndroidユーザーがこの脆弱性にさらされたままになる可能性が残されています。研究者はセキュリティアップデートで修正プログラムを提供するといった別の対策を講じるべきだと考えているとのことです。

この記事のタイトルとURLをコピーする

・関連記事
Google Play上のアンチウイルスアプリの3分の2はまともに動作していない - GIGAZINE

Androidデバイスに「PNG画像を見るだけでハッキングされてしまう脆弱性」があると判明 - GIGAZINE

数百万のスマートフォンアプリで個人情報が「垂れ流し」になっていることが判明 - GIGAZINE

「Googleは違法にユーザーの行動を追跡していた」としてGoogleが提訴される - GIGAZINE

AndroidからGoogle依存を大幅削除してプライバシー性を向上させるAndroidフォーク「/e/」がリリースされる - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by logq_fa

You can read the machine translated English article here.