マイキー・キャンベル
· 2分で読めます
Path が米国連邦取引委員会と 80 万ドルで和解した日に、位置情報サービスが無効になっている場合でも、ユーザーの位置情報がアップロードされた写真と一緒に投稿される可能性があるという新たなセキュリティ問題が発見されました。
更新: Path はAppleInsiderに対し、アプリの更新バージョンが Apple にプッシュされ承認されたため、App Store で利用可能になったと 伝えました。
この明らかな欠陥は、セキュリティ研究者のジェフリー・ポール氏によって発見されました。ポール氏は、PathのiOSアプリがユーザーの写真に許可なく位置情報タグを付けることを可能にするバックエンドの問題について詳細を説明しています。ポール氏の発見は、Pathにとって特にタイミングが悪いものでした。というのも、この人気ソーシャルネットワークは、同様のプライバシー懸念をめぐってFTCと和解したことで再び話題になっているからです。
PathのiOSアプリは、 Pathアプリの位置情報サービスを明示的に無効にしている場合でも、iOSカメラロールの写真に埋め込まれたEXIFタグの位置情報を使用して、投稿にジオタグを付与します。(もちろん、アプリは位置情報サービスから通常の方法で位置データを取得していないことを認識していますが、その場合でもこのように動作します。)
The Next Webによると、Pathはこの不一致を認識しており、修正方法を検討しているとのこと。ポール氏のブログへのフォローアップ記事で、Pathのプロダクトマネージャーであるディラン・ケイシー氏は、アプリがユーザーの位置情報を記録していなかったことを慎重に指摘し、これが同社がFTCと和解した理由であると述べている。
Pathではユーザーのプライバシーを非常に重視しています。以下に、判明した事実と今後の対応についてお知らせいたします。1. 私たちはこの問題を認識していなかったため、EXIF タグの位置を無視するようにコードを変更しました。
2. この修正を加えた新しいバージョンを App Store に提出し、承認を得ました。
3. ここで説明された懸念事項については Apple に通知しており、今後対応していく予定です。
一つ注意点があります。Pathユーザーが位置情報をオフにしてPathカメラで撮影した画像の場合、Pathには位置情報は保存されません。これは、Appleカメラで撮影されPathにインポートされた写真にのみ影響します。
Pathは、ユーザーのアドレス帳から連絡先データを収集・アップロードする行為をめぐり、小規模な論争の的となっていました。このシステムは、友人同士のつながりを容易にするために導入されたはずでした。
和解の取り決めにより、Pathは80万ドルの罰金に加え、ユーザーの個人情報のプライバシーと機密性をどの程度維持しているかについて虚偽の表明を行うことを禁じられています。13歳未満の子供から収集された情報は削除されますが、同社は以前に収集したデータは既に削除したと述べています。
