2021年10月12日 20時00分 セキュリティ

SamsungやXiaomiのスマホは大量のユーザーデータをメーカーやその他の企業に送信していることが判明



Googleが開発するモバイル向けOSのAndroidはAppleのiOSを上回る市場シェアを誇っている一方、iOSより最大20倍も多くのユーザーデータを収集することが指摘されています。SamsungやXiaomi、Huaweiなどが開発したカスタムAndroid OSを調査した新たな研究では、カスタムAndroidの多くが重要なデータをメーカーやサードパーティー企業に送信していることが判明しました。



Appleが自社製デバイスのみに搭載するiOSとは異なり、Androidはオープンソースソフトウェアがベースであり、モバイル端末を開発するメーカーが独自にカスタマイズしたAndroidバリアントを作成することが可能です。そのため、同じAndroid搭載スマートフォンであっても、メーカーごとに微妙にUIや細かい部分が異なることがあります。





イギリス・エディンバラ大学の博士課程に在籍するHaoyu Liu氏とトリニティ・カレッジでコンピューターサイエンスの教授を務めるDouglas Leith氏の研究チームは、Samsung・Xiaomi・Huawei・Realmeなどのスマートフォンメーカーが開発したAndroidバリアントとLineageOSおよび/e/OSの、計6種類のAndroidを基にしたOSについて、デバイスから外部に送信するデータに関する調査を行いました。



調査の結果、/e/OSを除いた全てのAndroidバリアントにおいて、最小限の構成で端末が待機状態の場合でも「かなりの量」のデータを送信していることが判明しました。データを送信しているのはOSサーバーやAndroidバリアントを開発したメーカーだけではなく、Google、Microsoft、LinkedIn、Facebookといったサードパーティー企業も含まれており、プライバシーに関する懸念を引き起こしていると研究チームは述べています。





研究チームが報告した主な発見は以下の通り。



◆インストールされたアプリのリスト

/e/OSを除いたAndroidバリアントは、デバイスにインストールされている全アプリのリストを収集しているとのこと。これにはメンタルヘルスアプリやイスラム教徒が礼拝に使うアプリ、同性愛者向けの出会い系アプリ、特定政党の支持者向けのニュース配信アプリなど、ユーザーのプライバシーに関わるものも含まれます。さらに、調査したAndroidバリアントにはこのデータ収集をオフにする設定が存在していません。



◆アプリの使用時間

Xiaomi製スマートフォンは各アプリがいつ、どのくらいの時間使用されたのかなど、ユーザーが表示したアプリ画面の詳細をXiaomiに送信していると研究チームは指摘。このデータはヨーロッパ以外の地域から、シンガポールのサーバーに送られているとのこと。



◆キーボードアプリの入力情報

Huawei製スマートフォンにおいては、Microsoftがモバイル向けに開発した仮想キーボードアプリ・SwiftKeyの使用状況をMicrosoftに送信しているそうです。これにより、ユーザーがテキストを書いたり、検索バーを使用したり、連絡先を検索したりしたタイミングや、入力文字数などがわかるとのこと。



◆デバイス固有のID

Samsung・Xiaomi・Realme・Googleのスマートフォンは、ユーザーがリセット可能な広告IDと共に、ハードウェアのシリアル番号といった長期間追跡可能なデバイスIDを収集しているとのこと。ユーザーが広告IDをリセットしても、デバイス固有のIDがあれば簡単にデバイスを以前の広告IDとリンクさせられるため、リセットの意味が失われる可能性があると研究チームは指摘しています。



◆サードパーティーのシステムアプリ

Google・Microsoft・LinkedIn・Facebookといったサードパーティー企業のシステムアプリがほとんどのスマートフォンにプリインストールされているため、ユーザーが気付かないうちに情報が収集されている可能性があるとのこと。



◆データを送信しないAndroidバリアント

今回調査したAndroidバリアントの中で、「AndroidからGoogle依存を取り除いてプライバシーを向上させる」ことを目的として開発された/e/OSは、ユーザーのプライバシーに関わるデータを外部に送信していなかったと研究チームは述べています。





Leith氏は、「私たちはWebのCookieと悪質なアプリに焦点を合わせすぎています」と述べ、スマートフォン本体に搭載されているOSの、オプトアウトの存在しないデータ収集の問題が見過ごされてきたと主張。今回の研究結果が市民や政治家、規制当局に影響を及ぼし、ユーザーがスマートフォンのデータを制御可能にする取り組みが進むことを望んでいるとのことです。