ジョシュ・オン
· 2分で読めます
ニューヨーク・タイムズのBitsブログによると、スカイキュアのヤイル・アミット氏とアディ・シャラバニ氏は、水曜日にテルアビブ大学で行われたプレゼンテーションに先立ち、この発見を明らかにした。アプリの同期機能はユーザーの承認を必要とするものの、研究者たちはカレンダーの予定を不必要に送信し、しかも安全でない方法で送信していると批判した。
「場合によっては、ユーザーの機密データを取得することは許容されるかもしれません。しかし、明確な指示なしにそうすることは決して許されません。そもそもその機密情報が本当に必要でない場合は、はるかに悪質です。LinkedInで私たちが発見したのはまさにこれです」とシャラバニ氏は述べた。
LinkedIn の広報担当者は、この機能は「明確な『オプトイン』体験」であると認め、アプリが開いているときのみ同社のサーバーと同期されると述べた。
「当社は会議データの情報を使用して、LinkedIn のプロフィール情報と、会議相手に関する情報を照合し、その人物に関するより詳しい情報を提供しています」と広報担当のジュリー・イノウエ氏は語った。
同社は、この機能について説明したブログ記事で対応しました。記事では、データは安全なSSL接続を介して送信され、LinkedInのサーバーには保存されないことを明確にしています。同社のモバイル製品責任者であるジョフ・レッドファーン氏は、会議メモの送信を停止し、データの使用方法に関する詳細情報へのリンクを提供すると約束しました。
しかし、アミット氏とシャラバニ氏は、LinkedInに必要なのはユーザーの「固有識別子」のみであり、カレンダー情報すべてではないと主張した。その主張を証明するため、彼らは機密性の高い金融電話会議のパスワードがどのようにして同社のサーバーに送信されたかを実演した。
出典:ニューヨーク・タイムズ
LinkedInは、情報収集とプライバシーに関する懸念に対処するために3月に米国議会議員から連絡を受けた数社の企業のうちの1つだった。
いわゆる「アプリ経済」の台頭により、モバイルアプリのプライバシー問題は、研究者、議員、そしてプライバシー擁護者の間で大きな話題となっています。今年初め、Pathアプリがユーザーのアドレス帳をサーバーにアップロードしていたことが発覚しました。PathのCEO、デイブ・モーリン氏はすぐに謝罪し、当該情報を削除することを約束しました。報道によると、AppleのCEO、ティム・クック氏はこの発覚に憤慨し、カリフォルニア州クパチーノにあるApple本社でモーリン氏を厳しく追及しました。
Appleはユーザーのプライバシー保護のため、iOSに独自の変更を加えました。iOS 5以降、Appleは開発者によるデバイス固有識別子(UDID)へのアクセスを廃止しました。3月には、開発者からUDIDにアクセスするアプリがAppleによって拒否されているとの報告がありました。Appleは最近、エンタープライズ顧客向けにiOSのセキュリティ機能を概説した詳細なガイドを公開しました。
しかし、広告会社はUDIDトラッキングの喪失を補うための回避策を見出しています。最近の報告によると、広告ネットワークは現在、Open Device Identification Network(ODN)とOpenUDID標準を代替手段として使用しているとのことです。
