Androidでインストールした覚えのない新型コロナ接触確認アプリがいつの間にか入っている事態が発生

日本政府公式の「COCOA」のように、世界中の自治体が独自の新型コロナウイルス接触確認アプリをリリースしています。アメリカのマサチューセッツ州も独自の新型コロナウイルス接触確認アプリをリリースしたのですが、このアプリのAndroid版がマサチューセッツ州の住人のスマートフォンに勝手にインストールされる事態が発生しています。

Massachusetts 'MassNotify’ COVID Android app auto-installed for some - 9to5Google
https://9to5google.com/2021/06/19/massachusetts-massnotify-app/

Even creepier COVID tracking: Google silently pushed app to users’ phones [Updated] | Ars Technica
https://arstechnica.com/gadgets/2021/06/even-creepier-covid-tracking-google-silently-pushed-app-to-users-phones/

マサチューセッツ州が独自にリリースした新型コロナウイルス接触確認アプリの「MassNotify」が、ユーザーの同意なしにAndroid端末に勝手にインストールされる事態が続いています。海外掲示板のRedditやHacker Newsなどで、アプリを勝手にインストールされたユーザーからの報告が多数挙がっています。

Google Play上でのMassNotifyの評価は5段階中の1.2とかなりの低評価になっており、コメント欄には「スパイウェア？！同意なしに自動でインストールされます。アプリアイコンもなく、このアプリを開いて何ができるのかを確認する方法もありません」「このアプリは私の娘の端末に同意や通知なしにひそかにインストールされました。私はGoogle ファミリー リンク(ペアレンタル機能)を使用しているため、娘が自分でアプリをインストールすることはできませんでした」などの声が並んでいます。

Exposure Notifications Settings Feature - MA - Apps on Google Play
https://play.google.com/store/apps/details?id=gov.ma.covid19.exposurenotifications.v3

GoogleはAppleと共同で「新型コロナウイルス追跡システム」を開発しました。この新型コロナウイルス追跡システムは、Googleが開発するスマートフォン向けOSのAndroidと、Appleが開発するiOSにOSレベルで統合されています。これと同時に、公衆衛生組織がGoogleとAppleの開発した新型コロナウイルス追跡システムを活用した専用アプリを作成できるように、独自のAPIもリリースしています。

AppleとGoogleが「新型コロナウイルス追跡システム」をiOSとAndroidに組み込む - GIGAZINE

MassNotifyはGoogleとAppleが開発したAPIを用いて作成されたアプリです。しかし、MassNotifyには2つのバージョンが存在しており、ユーザー端末に勝手にインストールされたのはアプリアイコンなどが存在せず、Android端末の「設定」→「Google」→「COVID-19露出通知」にのみ存在するというもの。もうひとつのバージョンが、Google Play上からインストールできるもので、アプリアイコンがあり、統計情報も備えていますが、基本的な機能は全く同じです。

アプリアイコンのないMassNotifyがインストールされていることになぜユーザーが気づいたのかというと、Google Playでアプリを更新するように求められたためです。なお、MassNotifyが自動インストールされたユーザーの中にはマサチューセッツ州に住んでいないユーザーも含まれていた模様。

Google関連メディアの9to5Googleが「MassNotifyがAndroid端末にいつの間にかインストールされている件」についてGoogleに問い合わせたところ、「マサチューセッツ州公衆衛生局と協力し、ユーザーがAndroid端末の設定から直接接触確認通知をアクティブ化できるようにしました。この機能は端末の設定に組み込まれており、Google Playから自動的に配布されるため、ユーザーは専用のアプリを独自にインストールする必要はありません。新型コロナウイルス接触確認機能は、ユーザーがオプトインした場合にのみ有効になる機能です。ユーザーは、この機能を有効にするかどうか、システムを介して情報を共有するかどうかを、自身で選ぶことができます」という声明が送られてきたそうです。

なお、「Googleはユーザーの端末に勝手にアプリをインストールすることができるのか？」という疑問に対して、海外メディアのArs Technicaは「アプリの配信ページでユーザーがインストールボタンをタップした時、実際はGoogleがFirebase Cloud Messagingを介してアプリのインストールをプッシュするように要求しています。Googleは端末に24時間年中無休でアクセスできるため、アプリはいつでもインストールすることができます。さらに驚くべきことは、Googleがリモートでアプリをアンインストールすることもできるという事実です。これは事態が本当に悪化した場合に、Googleがマルウェアをリモートから削除できるようにするための機能です」と記しています。