Google の Android 携帯電話向けに作成されたソフトウェアの多くは、ユーザーのプライバシーとセキュリティに関しては不十分です。
これは、ペンシルベニア州立大学とノースカロライナ州立大学の研究者たちがAndroidマーケットで入手可能な無料アプリ上位1100件を調査した結果です。悪質なものは見つかりませんでしたが、驚くほど多くのプログラムが携帯電話のIMEI(国際移動体装置識別番号)などの固有識別子を使用しており、場合によってはユーザーの許可を得ずに使用していました。
懸念されるのは、これらの固有識別子がデータベース上でAndroidユーザーと紐付けられ、Webブラウザに保存されるトラッキングCookieと同様に、携帯電話ユーザーのオンライン行動を密かに追跡できる手段となる可能性があることです。トラッキングCookieとは異なり、携帯電話のIMEIは削除できません。
この研究は、昨年30種類のスマートフォンアプリケーションを調査し、位置情報と固有識別子が広く共有されていることを発見した同じ研究者らによる研究の続編である。
携帯電話はデータを収集する
ノースカロライナ州立大学の助教授で、この研究論文の著者の一人であるウィリアム・エンク氏は、研究者たちはようやくこれらのモバイルアプリの裏側で何が起こっているのかを解明し始めたばかりだと述べている。「人々はこのことに気づき始めていると思うが、それがどのような影響を与えるのかについては、まだ広く理解されていないと思う」とエンク氏は述べた。
「この論文は、Androidアプリが実際に何をしているのか、そしてそれが私たちのデータで何をしているのかについての理解を本当に深めるものだ」と、電子フロンティア財団の弁護士リー・ティエン氏は述べた。
EFFは、これらの固有識別子が消費者のオンライン活動の追跡に利用される可能性があることを懸念しているが、ティエン氏はこの研究でいくつかの心強い発見も得た。「盗聴などに音声・動画録画機能が悪用されているようには見えないのは、ある意味嬉しいことです。」
エンク氏と彼の同僚科学者たちは、Androidスマートフォンで動作するJavaバイトコードを逆コンパイルし、人間がより容易に見て理解できる形式に変換するプログラムを構築した。研究者たちは合計2100万行のコードを解析した。この作業の大部分はコンピューターで行われたが、エンク氏のチームは興味深いと思われるソフトウェアについては、手作業で調査することもあった。
「我々の分析により、個人/電話識別子の広範な使用/悪用と、広告および分析ネットワークへの深い侵入が明らかになった」と、今週サンフランシスコで開催されたUsenixセキュリティシンポジウムで発表された論文には記されている。
研究者たちは、自分たちの研究を「Android アプリケーションのセキュリティに関する最初の結論だが、最終的な結論ではない」と呼んでいる。
理論は必ずしも実践ではない
この種の分析の問題の 1 つは、プログラムが何ができるかは示せるものの、Android アプリが携帯電話で実行されたときに実際に組み込み機能を使用しているかどうかは証明されないことです。
それでも、興味深い発見がありました。ペンシルベニア州立大学の研究者が調査したアプリケーションの22%以上が、ネットワーク経由で固有識別子(通常はIMEI識別子)を送信できました。
プログラマーがこれらの固有識別子を実際に使いたい場合もあるでしょう。例えば、警察が盗難された携帯電話を見つけるのに役立てたい場合などです。しかし、それらは簡単に悪用され、深刻なセキュリティ問題につながる可能性があると、携帯電話セキュリティソフトウェアメーカーLookoutの最高技術責任者、ケビン・マハフィー氏は述べています。「固有識別子を持つと、人々はそれを様々な奇抜な目的、特に認証に使う傾向があります。」
テキサス州サンアントニオのデニム・グループのセキュリティ研究者、MJ・キース氏によると、ベライゾンはIMEIを認証に利用している企業の一つだ。ベライゾンの携帯電話ユーザー向けポータルサイトにアクセスするには、IMEIと電話番号さえあれば十分だと、彼はインタビューで語った。
「ポータルのパスワードをリセットするのにも使えるんです」と彼は言った。「アカウント全体を乗っ取って、請求先住所を変更することもできます。実際にスマホを送ってもらうことさえできるんです」
ルックアウトは先月、論文で言及されたアプリケーション開発者の1社であるCallmejackが、この種のデータを収集し、中国のサーバーに送信する80以上のAndroid壁紙アプリケーションの作成に協力していたと報じた。
マハフィー氏は、多くの開発者が他の開発者が書いたコードを再利用しており、ソフトウェアメーカーが気づかないうちにこうしたデータ収集が行われているケースが多いと考えている。「開発者が不透明なサードパーティ製のコードを使用している場合、これは興味深い状況に陥ります」とマハフィー氏は述べた。「追跡が行われていることを開発者が全く知らない場合、ユーザーにそのことを伝えるのは非常に困難です。」
ロバート・マクミランは、IDGニュースサービスでコンピュータセキュリティとテクノロジー全般の最新ニュースを担当しています。Twitterで@bobmcmillanをフォローしてください。メールアドレスは[email protected]です。
