Google Playで無料アプリのトップにランクされているFacebookは、Androidの脆弱なプラットフォームセキュリティを悪用し、アプリがインストールされるとすぐにユーザーの電話番号を収集しており、ユーザーのプライバシーを保護するためのAppleのアプローチと、FacebookやGoogleなどのソーシャル広告企業のアプローチの根本的な違いを浮き彫りにしている。
Facebookの最新の「漏洩」のニュースは、シマンテックが「悪質なアプリケーション、プライバシーリスク、および潜在的に侵入的な動作を発見する」ために設計されたNorton Mobile Insightツールを使用してさまざまなAndroidアプリを分析した後に公表されました。
シマンテックは、金脈を見つけるためにGoogle Playを深く調べる必要はなかったが、それでも同社の研究者は「最も人気のあるアプリケーションをレビューしたときにプライバシー漏洩が明らかになったことに私たち自身も驚いた」と述べている。
同社は、「Facebookアプリケーションを初めて起動した際、ログインする前であっても、電話番号がインターネット経由でFacebookサーバーに送信されます。この処理には、電話番号の入力やログイン、特定の操作、さらにはFacebookアカウントの登録は必要ありません」と述べています。「残念ながら、Facebookアプリケーションは個人情報を漏洩する唯一のアプリケーションではなく、最悪のアプリケーションでもありません」 - シマンテック
わずか1週間前、Facebookユーザーは、「自分と何らかのつながりがある」人物から、たとえそのデータがFacebookに意図的に共有されていなかったとしても、個人情報をダウンロードできることを発見しました。これは、Facebookが、ユーザーによって意図的に共有された情報だけでなく、ソーシャルグラフ内のあらゆる種類のデータを密かに収集し、広告や友達のおすすめ機能の向上に努めている実態を浮き彫りにしました。
Android のさまざまなバージョンには、ユーザーの許可なしに個人データを共有することに関する一貫したセキュリティ ポリシーがないため、Android アプリの Facebook の「自動共有」は、Android の友人を持つ iOS ユーザーも含め、すべてのユーザーに影響します。
シマンテックはFacebookに「連絡を取った」と述べ、Facebookは「問題を調査し、次回のAndroid版Facebookリリースで修正を提供する予定だ」と付け加えた。Facebookは、実際に利用するためにデータを収集していたことを否定し、サーバーから情報を削除したと述べた。
「残念ながら、Facebookアプリは個人情報を漏洩している唯一のアプリケーションではなく、最悪のアプリケーションでもありません」とシマンテックは指摘し、「今後数週間にわたり、このブログで危険なアプリケーションに関する情報を継続的に発信していきます」と付け加えた。同社はAndroidユーザーに対し、どのAndroidアプリが個人情報を「漏洩」しているかを確認するためのツールをダウンロードすることを推奨している。
Appleのウォールドガーデン
Appleのモバイルプラットフォームに対する「ウォールドガーデン」アプローチは、開発者が位置データを広範囲に収集すると誰も予想しなかったずっと前から、ユーザーの位置データを収集する前に許可を求めることを強制するなど、長らくアプリ開発者に障壁を築いてきた。
昨年、AppleのiOS 6は、Pathがユーザーのアドレス帳を無断でダウンロードしていたことが判明したことを受け、連絡先への不正アクセスをブロックし始めました。1年後、iOSユーザーの96%が最新バージョンを利用し、セキュリティ強化によって保護されています。
新しい Android スマートフォンでも断片化が進んでいるため、たとえアプリ開発者が広告やソーシャル レコメンデーションの目的でユーザーの個人データを共有するのを阻止することが Google の利益であったとしても、Google のプラットフォームを同様に保護することはできない。
AppleのiOSアプリモデルは、サードパーティ製アプリが他のアプリからデータを収集したり、ユーザーが明示的にアクセスしていない他のアプリのファイルを読み取ったりすることを常にブロックしてきました。また、Safariでは挿入されたCookieによるトラッキングをデフォルトで無効にするなど、ブラウジング時のユーザーのプライバシー保護にも取り組んでいます。
この慣行により、広告ネットワークが広告の追跡や行動の目的で個人に関する動的な Facebook スタイルのファイルを作成する取り組みが妨げられ、これが Google を非常に悩ませたため、同社は広告と Google+ のデータを収集するためにセキュリティ設定を無視し、最終的に FTC 史上最大の罰金を課せられることになった。
企業による憲法上の権利の回避
政府の個人情報要請に企業が協力していることを示す最近の漏洩により、マーケティングやソーシャルグラフなどの目的で大量のデータを収集する企業が、乱用防止のための監視がほとんど行われないまま、政府が利用できる巨大なリポジトリを事実上作り上げていることが浮き彫りになった。
米国政府のスパイ活動に対する国民の懸念は最高潮に達しており、Ars は最近、プレーンテキストの SMS メッセージよりもはるかに高いセキュリティを提供する暗号化拡張機能である Apple の iMessage が、Apple 自身によって「スパイされる」可能性があるかどうかについて調査を開始した。同社は、そのようなことは絶対にしないとしている。
「Appleは常にお客様の個人情報の保護を最優先に考えてきました」と同社は以前述べていた。「そもそも、お客様の個人情報を大量に収集・保管することはありません。ただし、当社が保有しないことを選択した特定のカテゴリーの情報は、法執行機関やその他の団体に提供していません。」
この記事では、Android や Windows Mobile など、SMS メッセージがまったく暗号化されていない他のモバイル プラットフォームでのメッセージング セキュリティがまったく欠如していることについては何も触れられていません。
しかし、暗号化は盗聴による政府の取り締まり活動に影響を与えているようだ。Wiredのデイビッド・クラベッツ氏が今週報じた記事では、米国司法行政局の文書を引用し、「暗号化の数字は、政府が表明している恐怖と、今日のAppleコンピュータの標準機能である暗号化に対する政府の非難プロパガンダを浮き彫りにし始めている」と指摘している。
2012年には15件の盗聴、それ以前に行われた7件の盗聴において暗号化が報告されました。これらの盗聴のうち4件では、当局はメッセージの平文を解読できませんでした。AOが2001年に暗号化データの収集を開始して以来、暗号化によって通信の平文を入手できなかったと管轄区域から報告されたのは今回が初めてです。
クラベッツ氏は、「暗号化の数字は、政府が表明している恐怖と、今日のアップルコンピュータの標準機能である暗号化に対する政府の非難のプロパガンダを浮き彫りにし始めている」と書いている。
同氏はまた、「昨年行われた盗聴の97%は携帯電話やポケベルなどの『携帯機器』向けだった」とし、「盗聴の約87%は麻薬関連の事件で行われた」と指摘した。
