2021年01月29日 21時00分 セキュリティ

イスラム教徒向けアプリが収集したユーザーの位置情報が政府組織に転売されていた可能性



イスラム教徒が日常的に祈とう目的で使用するスマートフォンアプリがユーザーの位置情報を取得し、ユーザーの情報を収集して公的機関に販売するデータブローカーに送信していたと、IT系ニュースサイトのMotherboardが報じています。



More Muslim Apps Worked with X-Mode, Which Sold Data to Military Contractors

https://www.vice.com/en/article/epdkze/muslim-apps-location-data-military-xmode



We Analyzed 450 Apps and Found Location Trackers in Every One | ExpressVPN

https://www.expressvpn.com/blog/digital-security-lab-location-trackers-smartphone-apps-research/



Location broker X-Mode continues to track users despite app store bans | TechCrunch

https://techcrunch.com/2021/01/28/x-mode-location-google-apple-ban/



Motherboardは2020年11月18日に、アメリカ軍がさまざまなアプリの位置情報を収集していることを報じました。調査により、9800万回以上のダウンロード数を誇るアプリ「Muslim Pro」や「Salaat First」の収集したユーザーの位置情報が、データブローカーのX-Modを介してアメリカ軍にわたっていたことが判明しています。



軍がアプリから収集された位置情報を買いあさっていることが判明 - GIGAZINE





Muslim ProやSalaat Firstは、イスラム教徒が1日に5回決まった時刻にメッカの方向に向かって礼拝を行うため、礼拝の時刻と正しい方角を教えてくれるアプリで、スマートフォンを使うイスラム教徒にとっては日常生活になくてはならない存在となっています。



さらに、セキュリティ研究所「ExpressVPN Digital Security Lab」のショーン・オブライエン氏らが調査した結果、同様のイスラム教徒向けアプリである「Prayer Times」「Qibla Finder」「Qibla Compass」で取得されたユーザーデータも、X-Modeに転送されていたことが判明しました。



また、ニューヨーク・タイムズは、アメリカ国防情報局(DIA)がX-Modeから位置情報を含むデータベースを購入し、令状なしで市民の動きを監視していることを1月25日に報じています。



アメリカ政府がスマートフォンの位置情報データを令状無しで購入していたことが明らかに - GIGAZINE





これらから、Motherboardはイスラム教徒向けアプリから収集された位置情報データが、業者を介して複数の政府組織に転売されている可能性を示唆しています。



Motherboardは実際にアーカイブサイトからアプリの過去バージョンをダウンロードし、Androidスマートフォンで実行してアプリのトラフィックを傍受。その結果、2020年に配信されていたバージョンで、位置情報がX-Modeに送信されていたことが判明しました。





なお、2020年12月にAppleとGoogleでX-Modeへのデータ転送が禁止されたことから、記事作成時点でのバージョンでは、問題のアプリは5つともX-Modeへ位置情報の転送を行っていません。



「ユーザーの位置情報を軍に提供するソフトウェア」を使ったアプリをAppleとGoogleが排除 - GIGAZINE





さらに、IT系ニュースサイトのTechCrunchによれば、ニューヨークの地下鉄路線図アプリが広告と市場調査のためにX-Modeにデータを送信する許可を求めていることをプライバシーポリシーに提示していたとのこと。TechCrunchがアプリメーカーのDesonlineにコメントを求めた直後、X-Modeに関する文言がプライバシーポリシーから削除されたそうです。



X-Modeのジョシュ・アントンCEOは「X-Modeのソフトウェア開発キット(SDK)を禁止することは、X-Modeがほとんどの広告SDKと同様のデータを収集していたことを考えると、より広範なエコシステムへの影響があります。AppleとGoogleは、パブリッシャーが位置情報の収集と使用について二次利用の同意を得ている時でさえも、彼らがモバイルアプリのデータを収集し利用する能力を決定できるという前例を作りました」と述べています。



しかし、MotherboardはQibla Finderを例に出し、プライバシーポリシーへの同意が表示される前にX-Modeへのデータ送信が開始されていたと指摘しています。



MotherboardがX-Modeへの情報転送の件についてAppleとGoogleに意見を求めたところ、両者からコメントはなかったとのこと。なお、2021年春に来るiOSのアップデートでは、アプリによるトラッキングの許可をユーザーが確認できるようになるとAppleは発表しています。