個人情報をこっそり送信するAndroidアプリの存在

スラッシュドット・ジャパン経由で興味深い英語の記事を見つけたので日本語訳してみる。
“Some Android apps caught covertly sending GPS data to advertisers” By Ryan Paul (英語サイト「arc technica」)
以下、全文訳である。
密かに広告主にGPSデータを送信しているAndroidアプリの存在
デューク大学、ペンシルバニア州立大学、インテル研究所の研究者の行った研究結果によれば、人気のAndroidアプリの相当数がユーザの個人データを、ユーザーに明示・確認せずに、広告サーバーに送信していることが分かった。研究者はTaintDroidというソフトを開発し、アプリが機密の可能性のある情報をリモート・サーバーに送信しているのを検知・報告する、動的痕跡分析(dynamic taint analysis)を利用した。
彼らはTaintDroidを使ってAndroidマーケットから無作為抽出された30の人気のある無料アプリを検査し、その半分が広告サーバーに、ユーザーの位置情報や電話番号を含む個人情報を送信しているのを見つけた。いくつかのケースでは、広告が表示されない時でも、30秒ごとの頻度で広告サーバーにGPS位置情報を転送していた。
Android OSは重要なプラットフォーム機能とユーザの個人情報を制限する、アクセス制御の仕組みを持っている。機密情報に関わる機能を利用しているサードパーティー製アプリは、インストールの過程でユーザーに許可を求めなければならない。ユーザーは、そのアプリに特定の機能へアクセスさせたくなければ、インストールのキャンセルを選べる。もしユーザーが単純なアーケードゲームのインストールを開始して、ユーザーのGPS位置情報へのアクセスを求めてきたら、例えば、アクセス許可要求と思われるものがあれば、ユーザーがインストールを完了しないように強制したりする。
これは実用的なセキュリティ機能だ。しかし一つ致命的な制限がある。そのアプリが要求した機能をいつ、どのように利用するのか、また、情報をどこへ送信するのか、これらのことをユーザーが知る方法がないのだ。上述の例で言えば、ユーザーがAndroid用ゲームにGPS位置情報へのアクセスを許可したとする。そのゲームが近くにいるユーザーとのマルチプレーヤー対戦ができるようにするためだ。しかしそのユーザーは、アプリがGPS情報を広告主にも転送していないかどうか、不正な目的に利用していないかどうかを知る方法がない。許可を与えるシステムをよりきめ細かくすれば、この種の問題への対策になるかもしれない。しかし、仕組みが複雑になりすぎて、ユーザーが理解できないといった副作用が出てくるだろう。実際、単に許可対象のリストを見る時間がなかったり、その意味を理解していない不注意なユーザーは、すでにたくさんいる。
Androidアプリが権限なしに個人情報にアクセスするというこの問題は、今年の始め、人気の壁紙アプリがユーザーの電話番号を中国のサーバーに送信していたのが見つかったときに持ち上がってきた。グーグルの調査によって、このアプリの開発者は単にユーザーアカウントを一位に識別するために電話番号を使っていただけで、ユーザーのセキュリティを脅かしたり、何か非合法なことをしていたわけではないと分かった。グーグルは、ユーザーの個人情報取り扱いに関するベストプラクティス概要を発表するという対策をとった。グーグルはこのアプリをAndroidマーケットで一時無効にして、セキュリティ・レビューを行なったが、重大な脅威の証拠が見つからなかったため、後に再び有効にした。
Androidマーケットから明らかに悪意のあるアプリを削除するグーグルの能力によって、ユーザーは最悪の攻撃から守られている。しかし無数のグレーゾーンには本当の意味で対処していない。グレーゾーンでは、データ収集と開示のもつ重要性がもっと微妙で、明らかな乱用とは言えないからだ。たとえモバイルアプリが、高度な情報収集を行っていても、必ずしもユーザーに脅威をもたらさない、このことを認識しておくのは重要だ。便利なサービスを無料で受けられるなら、私的情報については喜んで自主的に譲歩するユーザーも何百万と存在する。重要なのは、それが自主的でなくてはいけないという点だ。つまりユーザーは情報が収集されるということを、前もって知らされている必要がある。
Androidアプリに埋め込まれているモバイル広告ウィジェットが、携帯電話識別番号を収集し、ターゲット広告をより効果的にするために、複数のアプリにまたがってユーザーの行動を関連付け、行動様式を推定できるとすれば、グーグルがGMailの文脈依存広告でやっていることと大差ない。こうしたことを正確に行えるかもしれないことが、グーグルのAndroid開発の最初の動機だったとしても、私は全く驚かない。スマートフォンが普及するにつれて、次世代のホットなモバイルアプリやサービスにアクセスするために、ユーザーは自分たちのプライバシーをますます手放すようになるだろう。
広告主による侵略的なデータ収集は、ユーザーがその見返りに価値を見出すなら、必ずしも悪いことではない。本当の問題は、そうした行為がユーザーに対する適切なレベルの透明性と情報公開とともに行われているかどうかだ。合法的な商慣行と、受け入れがたいデータ収集の乱用を区別するのは、データがどのように収集され、利用され、共有されるかを、ユーザーが前もって知らされているかどうかである。それによってユーザーは、自分たちの個人情報が不愉快なかたちで共有された場合に、その製品を使うのをやめることができる。そのような問題は、明らかにAndroidやモバイルOS一般だけに関わる問題ではないが、スマートフォンのプラットフォームは、特定の個人情報にアクセスするための標準的なAPIを提供しているので、軽微なプライバシー侵害の標的になるリスクがより高くなっている。
データ収集にあたって開発者が採用すべきベストプラクティスのリストの中で、グーグルは次のように書いている。明記されたプライバシーポリシーに、ユーザーがかんたんにアクセスできるようにすることが非常に重要だと。グーグルはAndroidマーケットの機能を拡張し、アプリ開発者が、インストール前にユーザーがプライバシーポリシーに直接アクセスできるようにすべきだろう。そうすればエンドユーザーには実に大きなメリットになる。アプリが情報を不適切なかたちで共有したり、自分たちのプライバシーポリシーの条項に違反したり、データ収集行為の透明性に沿っていない場合は、TaintDroidのようなツールが、知識のあるユーザーや監視者がそのような乱用を見つけ出す強力なソフトになる。TaintDroidプロジェクトに関わっている研究者たちは、間もなく調査結果を公表し、さらなる調査を促すためにTaintDroidアプリを誰でも利用できるようにする計画だ。モバイルアプリがデータを収集していることの認識を高めようという彼らの努力は、安全なモバイル・コンピューティング推進のための重要な貢献だ。
(以上、翻訳終わり)