スラッシュレーン
· 2分で読めます
iPhone App Storeの「人気アプリ」と「無料アプリ」のカテゴリーを調査したところ、ソフトウェアの68%がデバイスからUDIDを送信していることが判明しました。さらに、アプリケーションの18%は通信を暗号化していたため、どのようなデータが共有されているかを特定できませんでした。
この調査結果は、バックネル大学のネットワーク管理者であり、デフコン・ウォードライビングで2度の優勝経験を持つエリック・スミス氏によって先週発表されました。Engadgetが公開したこのセキュリティレポートは、UDIDが「個人を特定できる情報と容易にリンクされる可能性がある」と主張しています。
この調査はiPhoneで利用可能な57のアプリケーションに基づいて行われ、個人情報がプレーンテキストで送信されており、潜在的なセキュリティ上の懸念があることが判明した。
UDIDは、iPhone、iPad、iPod touchなどのiOSデバイスに割り当てられた固有の識別子です。この番号は、App Storeで入手可能なソフトウェアの著作権侵害を防止するために使用されます。
スミス氏は調査結果の中で、iOSデバイスに割り当てられたUDIDを、IntelがPentium 3チップに付与した物議を醸したプロセッサシリアル番号と比較しました。Pentium 3のPSNは「プライバシー保護団体から激しい非難を浴びた」と指摘し、なぜiPhoneでは同様の懸念が表明されていないのか疑問を呈しました。
iPhoneのUDIDを送信することが判明したアプリケーションの中には、Amazon、Chase Bank、Target、Sams Clubのソフトウェアが含まれていました。CBS Newsのアプリケーションはさらに進んで、UDIDに加えて、ユーザーがiPhoneに割り当てた名前(通常は所有者の実名を含む)も送信していました。
「ほとんどのiPhoneアプリケーションベンダーはUDIDデータを収集し、リモートで保存しています。また、これらのベンダーの中には、UDIDを現実世界のIDと関連付ける機能を持つものもあります」とスミス氏は記している。「例えば、Amazonのアプリケーションは、ログインユーザーの実名をUDIDと共にプレーンテキストで送信するため、Amazon.comとネットワーク盗聴者の両方が、携帯電話のUDIDと所有者の名前を簡単に照合できるのです。」
もちろん、AppleはiOSのセキュリティ対策に非常に力を入れており、GPSや電話帳などの情報にアクセスするアプリケーションにはユーザーの承認を求めています。さらに、iAdsなどのサービスによるデータ収集をユーザーがオプトアウトできるようにもしています。
カリフォルニア州クパチーノにあるアップル本社構内でテスト中のデバイスから、iPadに関するデータがアップルの許可なく取得された事件を受け、同社はモバイル分析会社を非難した。この事件を受け、アップルはiPhone開発者契約の一部規則を改訂した。
