Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっている。しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることをLeviathan Security Groupが指摘している(Leviathan Security Groupのブログ記事、 CNN.comの記事)。

たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しない。そのため、暗号化されていない情報は任意のアプリで読み取れる。本体メモリーにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み取られる可能性がある。一方、アプリはURIを指定してWebブラウザーを起動できるが、こちらもパーミッションは要求されない。そのため、インターネットアクセスが許可されていないアプリであっても、URIにパラメーターとして指定することで、サーバーにデータを送信することが可能となる。

言われてみればそのとおりなのだが、こういった点はあまり気にされていなかったと思う。アドレス帳データをバックアップした場合のように、個人情報が暗号化されずにSDカードに保存されることも多いので注意が必要だ。Leviathan Security Groupでは実証に使ったAndroidアプリおよびプロジェクトファイルも公開しているので、興味のある方は確認してみるといいだろう。