Appleは、iOSアプリがユーザーのデータを出版社と共有する方法について、特にPathという企業が収集した個人アドレス帳について、非難を浴びています。しかし、Androidアプリの挙動に関してはGoogleの方が優れているのでしょうか?アプリの専門家に聞いてみました。
判決は?大きな但し書き付きで「イエス」。
ちなみに、AppleはiOSアプリ開発者がアプリの動作に関する新たなルールを遵守し、iOSデバイスに保存されている個人データへのアクセス権限を明確にすることで、アプリデータ漏洩問題を解決すると誓っています。しかし、ワシントンD.C.の議員がこの論争に介入する前には実現しませんでした。まもなく、iPhoneとiPadのアプリはユーザーの許可なくアドレス帳にアクセスできなくなります。
Android の方が優れている?
Androidユーザーはこのような問題から安全でしょうか?そして、Appleが提案する修正はGoogleの提案よりも優れた実装なのでしょうか?調べてみましょう。
Appleのシステムでは、アプリは事前の許可なしに連絡先にアクセスできますが(iOS開発者の中には、現在、自主的なダイアログボックスを実装しているところもあります)、Androidアプリは、そのような権限を使用するには、アプリをインストールする前にダイアログボックスで許可を求める必要があります。つまり、特定のアプリに連絡先(または位置情報やスマートフォンで閲覧したサイト)へのアクセスを許可したくない場合は、アプリをインストールしないしか選択肢がありません。
Androidでは、アプリがスマートフォンのどの部分にアクセスしようとしているのかを明示的に開示しており、アプリの自動更新を選択した場合にもこの設定が適用されます。アプリが新しいバージョンで権限を変更した場合、自動的に手動更新としてマークされます。つまり、アプリを最初にダウンロードしたときと同じように、新しい利用規約を確認して同意する必要があります。しかし、Androidのこの方法にも弱点があります。
Androidの致命的な欠陥:ユーザーの無知
「Androidアプリをインストールする際、多くの人が権限要求を盲目的にクリックしてしまいます」と、ロンドンに拠点を置くモバイルアプリ開発会社Portable Pixelsのマネージングディレクター、グレッグ・プランブリー氏は語る。「Windowsで警告が頻繁に表示されるようになり、ついつい「OK」をクリックしてしまうのと似ています」と彼は付け加える。
カーネギーメロン大学CyLabによる2009年の調査によると、デスクトップソフトウェア環境において、ソフトウェアのインストール時に表示されるエンドユーザー使用許諾契約(EULA)を読む人はわずか2%に過ぎません。(調査のPDF版はこちらでご覧いただけます。)私たちコンピュータユーザーとインターネットユーザーは恥を知るべきです。EULAを軽視すると、後からひどい目に遭う可能性があります。
インストール前の許可リクエストによって、Androidアプリがユーザーの同意なしに連絡先をリモートサーバーにアップロードするリスクが軽減されるのでしょうか?そうではありません。アプリをインストールした際に、既に他の多くのリクエストと同様にこのリクエストに同意しており、アプリに付与する権限を細かく制御できないためです。Androidユーザーにとっては、すべてを許可するか、何も許可しないかのどちらかです。
Apple が、iOS ユーザーがどのような種類のきめ細かなオプトインおよびオプトアウト制御を行えるようにしながら、より透明性の高いアプリ開示をどのように実装するかはまだ不明です。
英国に拠点を置くモバイルセキュリティ企業BlackBelt SmartPhone DefenceのCTO、ピーター・ハリソン氏も同意見だ。「Androidのアプローチは、プロンプトを一切出さないよりは確かに安全です。残念ながら、個々の権限について合意することはできません。アプリが求める権限をすべて与えるか、全く与えないかのどちらかです。」
「しかし、大きな弱点は、ほとんどのユーザーが何も考えずに、場合によっては要求された権限の内容を読むことさえせずに、権限要求に同意してしまうことです。彼らは、アプリが本当に要求された権限を必要としているかどうかなど、全く考えていません」とハリソン氏は付け加えます。
「Appleが提案した、位置情報サービスやプッシュ通知で既に行われているのと同様の方法でアドレス帳情報にアクセスするためのプロンプトを表示するという解決策は良いもので、おそらくもっと早く導入されるべきだったでしょう」とPortable PixelsのGreg Plumbly氏は述べている。この方法により、ユーザーはアプリがアドレス帳へのアクセスを要求するたびに、アクセスをきめ細かく制御できるようになり、アプリが実際にそのようなデータを使用しているかどうかを認識できるようになる。
しかし、このアプローチには独自の危険性があると、BlackBeltのピーター・ハリソン氏は警告する。「アドレス帳のリクエストを個別に確認する方が安全かもしれませんが、同じリスクが存在します。多くのユーザーは、結果を考えずにリクエストに同意する可能性があります。これは、ユーザーが定期的に確認メッセージを見る場合に特に当てはまります。ユーザーは、どのアプリが許可を求めているのかを確認せずに、リクエストを承認する習慣に陥ってしまう可能性があります。」
AppleはGoogleよりも優れた仕事をできるだろうか?AppleはGoogleと同等の実力を持つようになるだろうか?残りの98%の人類はEULAを読めるように訓練できるだろうか?うーん。
TwitterでDaniel IonescuとToday @ PCWorldをフォローしてください
