「スマートフォンにインストールしてあるアプリ」というプライバシーに関わるデータは全然保護されていない

Androidのアプリが「同じスマートフォンにどんなアプリがインストールされているか」というプライバシーに関わる情報を収集している問題をエンジニアのPea Bee(ピービー)氏が報告しています。

Everyone knows all the apps on your phone - by peabee
https://peabee.substack.com/p/everyone-knows-what-apps-you-use


2022年まで、Androidデバイスにインストールしたアプリは何らユーザーの許可を得ることなく「同じ端末にインストールされているアプリの一覧」を閲覧することが可能で、プライバシーが筒抜けでした。2022年に登場したAndroid 11において新たなパッケージの可視化ポリシーが導入されたことで、原則としてインストールされている全てのアプリの一覧を取得することは不可能になり、代わりにアプリのコア機能に不可欠な場合に限ってほかのアプリを指定してインストールされているかどうかという状態を取得する仕組みが導入されました。

新たな機能を使用することで、例えば「どんな支払い手段が利用可能なのか」を検出して適切な支払い方法の選択肢を提供したり、アプリのクローンを作成するアプリや複数アカウントを可能にするアプリを検出してセキュリティを向上したりすることが可能です。また、Googleはファイルマネージャーやブラウザ、ウイルス対策アプリなどの特殊なアプリ限定で「すべてのインストール済みアプリを表示する」許可を与えています。

通常のアプリが他のアプリのインストール状態を取得する場合、「どのアプリの状態が知りたいのか」という点についてマニフェストファイルに記載する必要があります。ピービー氏がインドの大手企業各社のアプリ数十個を対象にマニフェストファイルの内容を調査したところ、多数のアプリが大量のアプリのデータを収集していることが判明しました。

例えばインドのオンライン食品注文・配達アプリのSwiggyは154個のアプリについてのインストール状態を調べています。中には「Xbox」や「Playstation」アプリも含まれており、ピービー氏は「Swiggyのコア機能に必要とは思えない」「おそらくSwiggyはユーザーのプロファイリングのために多様なアプリのインストール状態を追跡しているが、これはPlayストアのポリシーに違反している」と指摘しました。


また、商品を注文してから10分程度の短時間で配達まで完了するクイックコマースアプリのZeptoの場合、NetflixやBinanceなどカテゴリを問わずほぼすべての人気アプリのインストール状態を取得しているとのこと。


個人ローンアプリのKreditbeeに至っては860個ものアプリのインストール状態を調べています。


ピービー氏はこうして収集されたデータが「顧客の属性調査に使用されている」と指摘。投資会社のBlume Venturesによる以下のスライドに代表されるように、「どんなアプリがインストールされているか」というデータを元にユーザーの裕福度合いが推定されているとのこと。実際、Zeptoはさまざまなデータを集めることでユーザーごとに異なる価格を表示していることが報告されています。


さらに、Zeptoは後払いプランの提供のために銀行から送信されたSMSのデータを読み取る権限を取得しますが、銀行の送信者IDのほかにSwiggyやBlinkitなど競合アプリのSMSを読み取る権限についても取得しているとのこと。


ピービー氏は「個人のプライバシーは全く尊重されていない」と警鐘を鳴らしています。