パスワードを忘れた? アカウント作成
13315166 story
情報漏洩

Androidアプリの7割以上がなんらかの形でプライバシに関わる情報を送信している 57

ストーリー by hylom
塵も積もれば 部門より

研究者らが5000以上のAndroidアプリを対象に調査を行ったところ、その7割以上が第三者にプライバシに関わる情報を提供していたという(Forbes JAPANThe Conversation)。また、15%に当たる750のアプリが5つ以上の第三者にデータを送信しており、また25%のアプリが異なるデバイスをまたいで利用履歴を収集していたという。

これは、スマートフォンのプライバシについて研究するThe Haystack Projectによって明かされたもの。同プロジェクトは「Lumen Privacy Monitor」というAndroidスマートフォン向けのトラフィック分析アプリを公開しており、これを使ってアプリが送信するデータを調べている(昨年公開された論文)。

現在では、多くのサードパーティが分析や広告表示のためのライブラリを提供しており、アプリ開発者はこのライブラリを利用することで簡単にユーザーの情報を収集できるという。これら情報は多くの場合そのライブラリ提供者のサーバーに送信されるため、これらに多くのプライバシに関する情報がユーザーの自覚無しに送られている可能性があることが問題視されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年06月21日 6時47分 (#3231535)

    オフラインで使えるアプリならファイヤーウォールの指定で通信遮断できる。
    オンライン必須のアプリの場合は防ぎ方分からない・・・
    androidがgoogleに勝手に送る位置情報などの送信の防ぎ方も分からない。

    #飛行機モードにするしかないかな

    • by Anonymous Coward

      > androidがgoogleに勝手に送る位置情報などの送信の防ぎ方も分からない。

      いや、それは普通にそういう設定項目があるだろ……。
      初期セットアップ時に許可するかどうか確認が出るはずだけど。

      • by Anonymous Coward

        許可するか許可しないかは選べることになっているけど
        許可しないを選択するとアプリが起動すらしないことが多い。

        本来許可しない場合でも、それなりに動作することが求められるけど
        Appleのアプリのように審査があるわけでは無いので
        動かないのが普通のようだ。

        あと、インストール後適宜パーミッションって変更できるんだっけ?
        (ちなみにSDカードアクセスのパーミッションは、過去の遺産のせいで
        アプリインストール後に書き換えるとほぼ全てのアプリが死ぬ)

        • by Anonymous Coward

          > 許可するか許可しないかは選べることになっているけど
          > 許可しないを選択するとアプリが起動すらしないことが多い。
          > 本来許可しない場合でも、それなりに動作することが求められるけど

          後述する通り、開発者がアプリ動作に必須とみなした権限についての提供を拒否された場合は
          アプリ側で動作しない(終了する)ことを選択できる
          無理やり動作しろという要求はそもそも存在しない

          これはiOSでも同じで、iOSにおいても終了する実装が許されている

          > Appleのアプリのように審査があるわけでは無いので
          > 動かないのが普通のようだ。

          前述のとおり、そもそもiOSでも動作に必須の

          • by Anonymous Coward

            Androidは知らんのだけど、iOSにおいてアプリが終了する実装って具体的に何を指してるの?

      • by Anonymous Coward

        OS自体が勝手に位置情報送ってるよ・・・Googleのアカウント設定で過去の位置情報の記録を残さないようにはできるけど送信自体は止まらない

        • by Anonymous Coward

          > OS自体が勝手に位置情報送ってるよ・・・Googleのアカウント設定で過去の位置情報の記録を残さないようにはできるけど送信自体は止まらない

          端末の紛失盗難の際の「iPhoneを探す」みたいなサービスのためという名目で
          最近ではiOSもAndroidも位置情報機能(GPSとかWIFI/3G位置情報とか)が有効の場合には適当にサーバ側に端末の位置情報を送り続けてる

          iOSも同じなのでAndroidが比較不利というわけでもない

          Android 4.2くらいまでかな?はこれを止めることもできた
          (Google設定の位置情報から、Googleアプリに対する位置情報を無効にすることで設定)
          これを無効にしているとGoogleMapとかの位置情報測位も動作しなくなるので、
          素人がその辺の影響も知らずに無効にして、そのうえで「GoogleMapが動かない!!」と暴れてるケースが非常に多かった

  • by Anonymous Coward on 2017年06月21日 7時14分 (#3231539)

    これ広告を出しているアプリがユーザーに合わせて広告を表示するための情報収集というものでしょう
    Webブラウザと同レベル
    それについては広告を出さない有料アプリを使えば解決じゃないかなあ

    • それについては広告を出さない有料アプリを使えば解決じゃないかなあ

      Android では、2014年8月1日以降、端末ID(電話番号、IMEI 等)を広告用のトラッキングに用いることは禁止されています(広告 ID - Play Console ヘルプ [google.com])。

      変わりに利用可能なのは、広告IDで、これも全てのアプリに対して同一のIDが用いられるのでアプリをまたいでのトラッキングが可能なことには変わり有りませんが、「設定」→「Google」→「広告」から「広告IDをリセット」を選択することで、広告IDを簡単に再生成でき、また「広告のパーソナライズをオプトアウトする」にチェックを入れることでオプトアウトが可能です。

      # もっとも、アプリから API でオプトアウトしているというデータが取得できる仕組みになっているだけで(オプトアウトの有無を判定する API の利用が義務付けられている)、オプトアウト設定を有効にしても技術的に広告IDをアプリから取得可能なことには変わりないという問題はあります。

      Android の広告市場は、一部の大手広告業者の寡占状態にありますので、Google Play で配信されているアプリに含まれている広告の大半はこのポリシーを守っていると思われます。広告ID以外をトラッキングに用いている業者を利用しているアプリは Google Play から追放されるからです。

      トラッキングや情報収集は、広告目的だけでなく、情報自体を不正に販売する目的や、マーケティング目的など、様々な目的で行われています。例えば、ソーシャルゲームだったら、リセマラによる再ダウンロード等を除いた純粋なダウンロード「人数」を把握したいだろうし、飲食店等のクーポンアプリの場合、端末IDと関連付けてユーザーの属性(年齢や職業等)を把握したいといった需要もあるでしょう。有料アプリであってもマーケティング目的でトラッキングしたいという需要があることには変わり有りません。

      よって、広告を出さない有料アプリを使っても解決することはありません。というか、有料アプリは違法コピーを防ぐ DRM 目的や、他の端末への購入済み情報の引き継ぎ目的で Google アカウントのIDを含む固有IDを取得して利用していますし、一部のアプリのみが固有IDを収集している無料アプリと違って、有料アプリはほぼ全てのアプリが固有IDを取得している ので、逆効果ともいえます。例外的に、固有ID等を収集しておらず、APK をダウンロードすると、他の Google アカウントでログインしている別の端末にインストールしても利用可能な有料アプリもありますが、個人製作の小規模なアプリを除けば、こういったカジュアルなコピーが可能な有料アプリはほとんどありません。

      親コメント
      • by Anonymous Coward

        例えば、ソーシャルゲームだったら、リセマラによる再ダウンロード等を除いた純粋なダウンロード「人数」を把握したいだろうし、飲食店等のクーポンアプリの場合、端末IDと関連付けてユーザーの属性(年齢や職業等)を把握したいといった需要もあるでしょう。有料アプリであってもマーケティング目的でトラッキングしたいという需要があることには変わり有りません。

        よって、広告を出さない有料アプリを使っても解決することはありません。

        それは、アプリのユーザーと販売側との当事者間での情報のやり取りで、
        アプリを利用する上で妥当なレベルの情報集ではないのか。リアルワールドでの商取引でも
        それく

        • by Anonymous Coward

          今現在流通してるアプリの大半は
          アプリベンダーが統計目的のデータを収集して、そのデータを第三者に渡してるんじゃなくて
          トラッキング用のサードパーティーのライブラリ使ってサードパーティーが代理で収集して
          そのデータを整形したものをアプリベンダーが受け取ってるのが実情
          それでも「多くのアプリが第三者にプライバシに関わる情報を提供」になるわけで
          今回はそういうサードパーティーを利用したトラッキングを問題視する話

    • by Anonymous Coward on 2017年06月21日 7時38分 (#3231546)

      本文リンク先のレポートを斜め読みすると

      70%のアプリがトラッカーを最低1種類使用している。15%は5種類以上のトラッカーを使用している。
      1/4 のトラッカーが電話番号、IMEI 等の個人を識別できる符号を送信している。
      子供向けアプリ111種のうち11種で MACアドレスを送信している(子供の個人情報取得は米国の法律違反の可能性あり)。

      とあるから広告用というには無理がないか?

      親コメント
      • by Anonymous Coward

        ユーザーに合わせるためには、識別して、蓄積して、好みを判定する必要があるよね。
        逆に聞きたいが、広告用以外に何に使うと?

        • by Anonymous Coward

          広告ではなくアプリをユーザーに合わせるため
          あとは名簿屋に売るとか

          • by Anonymous Coward

            名簿に売れるような情報は収拾できんぞ
            氏名も所属も住んでる場所も分からない人の電話番号なんて下手に買っても電話できない
            今は個人情報保護法も厳しくなってるんで
            そんなもん勧誘電話に使って通報されたら特に大手は大打撃

      • by Anonymous Coward

        むしろ、有名人でもない誰ともしらない赤の他人の
        個人情報が広告以外に何か価値があるとでも?

        • by Anonymous Coward

          そこに価値を求めるのがビッグデータ業界なんじゃないの?

          • by Anonymous Coward

            ビッグデータとしてしか使用しないのなら別に個人は心配する様なものでは無い。
            クレカの悪用みたいなセコイ稼ぎには興味はないだろうし。

            しかし個人をターゲットとしているのであれば、何らかの影響が有るかも知れない。
            例えば、広告がエロに集約されたり、とか。

      • by Anonymous Coward

        電話番号、IMEI、MACアドレス

        どれもiOSだとアプリから取れない情報ばかり。
        Androidは大変ですねぇ。

        • by Anonymous Coward

          そりゃあ、AppleIDをベースにしたビッグデータとして広告主に渡ってるからねえ
          正直、上と大差ないと思うのだが・・・・
          電話番号単体にそこまで情報的な価値はないよ
          電話しないと素性が分からない上に下手に電話したらいろいろ問題になる
          電話番号に紐付いた個人情報をゲットしたらもはや電話番号に存在意義はない

    • by Anonymous Coward

      熱心に収集する割には好みにあった広告が出たことなんて一度もないし
      購入したものを表示してくる頭の弱さだし
      ほんとはユーザに合わせる気は無いのか、余程技術が無いのかどっちなんだろう

      • by Anonymous Coward

        広告主が十分な数いないんだろ。

    • by Anonymous Coward

      広告を出さなくても、Google Firebaseとか入れて監視し分析するのは普通のことじゃないかな?自分はそうしてるけど。

  • by Anonymous Coward on 2017年06月21日 7時59分 (#3231552)

    つねにサーバーにパスワードを送ってるよ。

    • by Anonymous Coward

      > つねにサーバーにパスワードを送ってるよ。

      そんな古臭いサービスは今どき多くはない

      iOSでのAppleIDの認証もAndroidでのGoogleの認証もそうだが、最近のサービスの多くは
      最初にユーザ名/パスワードで認証できた時点で認証済トークンを受け取り、このトークンのほうだけ保存&その後サーバに対して提示する

      あとはこのトークンをサーバ側でいつまで有効とするか、どのタイミングで無効とするかだけ
      トークンが無効になっている場合だけ、あらためてユーザ名/パスワードを入力させてそこで認証(ここでもパスワードは保存しない)

      なので、端末が盗まれた場合などでは、
      サーバ側操作で「トークンを無効にする」ことで盗まれた端末からのアクセスを防ぐことができる

      • by Anonymous Coward

        >最初にユーザ名/パスワードで認証できた時点で

        ここでプライバシ情報を送っているね。

        • by Anonymous Coward
          > つねにサーバーにパスワードを送ってるよ。
          > つねにサーバーにパスワードを送ってるよ。
          > つねにサーバーにパスワードを送ってるよ。
          • by Anonymous Coward

            つねにのタイミング次第では?

            とりあえずプライバシー情報を送っているのは確かですね。

      • by Anonymous Coward

        #3231552氏はパスワード(+ID)もプライバシー情報と考えているんだろう。

        何を持ってプライバシーとするかにも依るだろうけど、
        パスワード自体はプライバシー性を有しないと考えて良いでしょ。
        むしろパスワードにプライバシー性を持たせるよう設定する方が拙いんだから。。。

        IDの方はというと・・・個を識別するためにIDを割り振っている以上は
        IDをどこにも漏らさない、という手法はあり得ないんじゃないか?
        となると、事業者がIDに行動履歴などのプライバシー性ある情報と結びつけるのを防ぐのは不可避で、
        それを承知のうえでサービスを利用するしかないんじゃないだろうか。

        • by Anonymous Coward

          元米はそれもいやらしいから、もう国籍消して名前もない無人島で自給自足するしかないもんね

      • by Anonymous Coward

        >あらためてユーザ名/パスワードを入力させてそこで認証

        ここでもプライバシ情報を送っているね。

        「Androidアプリの7割以上がなんらかの形でプライバシに関わる情報を送信している」

  • by Anonymous Coward on 2017年06月21日 8時06分 (#3231554)

    Googleの下僕になる自由を選んだ奴らが何を言ってるのやら

    あ、Google以外には送りたくないって話か

    • by Anonymous Coward on 2017年06月21日 10時03分 (#3231607)

      いや、冗談じゃなく本当にそうだろ。
      「第三者にプライバシに関わる情報を提供」が問題なんだよ。
      アプリの開発元に情報が行くのは同意済みだが、第三者に提供するのは同意してない、って話。

      親コメント
    • by Anonymous Coward

      PCだと今だにMSにデータ送るのさえ嫌がってる人いるけど、
      スマホはだいぶOS握ってるメーカに懐柔されてしまってる状況のようですな。

      • by Anonymous Coward on 2017年06月21日 11時29分 (#3231681)

        PCだと今だにMSにデータ送るのさえ嫌がってる人いるけど、
        スマホはだいぶOS握ってるメーカに懐柔されてしまってる状況のようですな。

        Office onlineは危険!マイクロソフトだから!google docsは安全!googleだから!と言われて頭を抱えた。
        ...googleのサービスを盲信するの本当にやめてほしい...

        親コメント
  • by Anonymous Coward on 2017年06月21日 12時28分 (#3231712)

    どうせブロックなんかしてないだろ、とたかをくくってか、
    ブロックすると鬼のようにリトライするテレメトリ系ライブラリがある
    いくらなんでも電池なくなるよ!

  • by Anonymous Coward on 2017年06月21日 13時10分 (#3231730)

    FabricやGoogle Analyticsは入りますか?

  • by Anonymous Coward on 2017年06月21日 18時59分 (#3231985)

    root化できる端末ならOrWallかDroidWall。
    それ以外は:
    NoRoot Data Firewall:http://www.appsapk.com/no-root-data-firewall/
    NetGuard:https://github.com/M66B/NetGuard

    がおすすめ。
    前者のいい点:帯域制限、IP制限が無料ででき、設定がとても簡単。 ←------  一般向けにおすすめ・日本語化対応
    悪い点:オープンソースではない。DNSフィルタリング(カスタムHOSTS)はできない。

    後者のいい点:オープンソース。フィルタリングが細かく設定でき、ログも詳しい。F-Droidにもある。
    悪い点:寄付するか、数千円で購入しないと全部アンロックできない。帯域制限はない。ITプロ向け。
    (ヒント:「NetGuard cracked」辺りで探せば、Pro版があります。もちろん、ご利用は自己責任★)

    *リンクはGooglePlayではない。Google関連無効化してるので。
    GooglePlayすら無効化してない一般人は、プレイストアから入手すればいい。
    両方ともある。

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...