新型コロナウイルス感染症追跡アプリが位置情報などを送信しているという調査結果

スマートフォンのプライバシーに関するセキュリティ企業Jumbo Privacyが、「アメリカ・ノースダコタ州公式新型コロナウイルス感染症(COVID-19)追跡アプリは、プライバシーポリシーに反してデバイスの位置情報、広告ID、デバイス名などを第三者に送信している」と報告しました。

Jumbo Blog: Your privacy is everything to us
https://blog.jumboprivacy.com/jumbo-privacy-review-north-dakota-s-contact-tracing-app.html

North Dakota’s contact-tracing app shares location data
https://www.fastcompany.com/90508044/north-dakotas-covid-19-app-has-been-sending-data-to-foursquare-and-google

問題が指摘されているのは、ノースダコタ州公式のCOVID-19追跡アプリ「Care19」です。Jumbo Privacyの調査によると、Care19は「デバイスの位置情報」を大手位置情報データプロバイダーであるFoursquareに、「広告ID」をFoursquareとGoogleに、「デバイス名」をリモートログ収集サービスBugfenderに送っていることが明らかになりました。以下がFoursquareに送信している情報の一部。「ll」の項目はデバイスの位置情報、「userinfo」はCare19によって割り当てられるランダムなIDです。

「adid(広告ID)」はFoursuqareとGoogleに送信されています。Junbo Privacyによると、広告IDはデバイス上の全てのアプリで共有されている識別子であり、個人情報とともに漏えいすることがよくあるとのこと。一例では、多数のアプリに使用されているFacebook SDKは広告IDをサーバー上に送信しており、Facebook上の個人情報と広告IDを紐付けています。Care19は広告IDと位置情報を送信しているため、個人情報と位置情報が広告IDによって結びつけられる可能性があります。

さらに、Care19は「デバイス名」をBugfenderに送信しています。以下の画像を見ると、「device」の項目中の「name」に、「Jan's iPhone」というデバイス名や使用しているデバイスの情報が含まれていることがわかります。自分の名前などの名称をデバイス名として用いているユーザーは、デバイス名が漏えいすることによって個人が特定される危険性があります。

同様に、端末固有のIDである「デバイスID」もBugfenderに送信しています。以下の画像を見ると、Bugfenderに送信されている情報に「device_id(デバイスID)」が含まれていることがわかります。

Care19のプライバシーポリシーには、「位置情報はCare19の制作会社であるProudCrowdのサーバー上にのみ保存されます。あなたが同意するか、ProudCrowdが連邦法によって強いられることがない限り、公開されることはありません」と表記されています。Jumbo PrivacyはCare19がこのプライバシーポリシーに反して各情報を送信していることを指摘。ユーザーに対して、問題が改善されるまでCare19をインストールしないよう促しています。

Jumbo Privacyによる調査を受けて、ProudCrowdは「Foursquareとの契約では、Foursquareがいかなる方法においてもCare19のデータを収集したり、使用したりすることは許可されていません。そのため、データを送信しても害はありません」という声明を発表。Foursquareも「Care19から一部のデータを受信しますが、そのデータはいかなる方法においても使用されず、すぐに破棄されます」とコメントを発表しました。しかし、今回の批判を受け、ProudCrowdは「データ送信機能を削除することは簡単です」として、将来的な仕様の変更やプライバシーポリシーの更新を約束しました。

Care19は、今後の更新でAppleとGoogleが開発した「新型コロナウイルス感染症接触通知API」を用いる予定です。AppleとGoogleの新型コロナウイルス感染症接触通知APIは、ユーザーの位置情報の追跡を禁止しています。

AppleとGoogleの「新型コロナウイルス追跡システム」を実装したアプリでは位置情報の追跡を禁止 - GIGAZINE