iOSや他のモバイルプラットフォームと比べてAndroidがしばしば強調される要素の一つは、オープンソースであることです。Androidのオープン性は、ベンダーがプラットフォームを基盤として拡張できること、そして開発者が制限的なルールや承認プロセスに縛られることなく自由にアプリを開発できることを意味します。しかし、新たなレポートによると、多くのAndroidアプリがこのオープン性を行き過ぎ、ユーザーの知らないうちに機密情報を共有していることが明らかになりました。
デューク大学、ペンシルベニア州立大学、インテルラボの研究者らは、Androidアプリがアクセス可能なデータをどのように利用しているかを分析する概念実証ツール「TaintDroid」を用いて、人気のAndroidアプリを対象とした調査を実施しました。その結果、テスト対象となったアプリの大多数が、ユーザーの知らないうちに、あるいは明示的な許可なく、ユーザーの個人情報を広告ネットワークに送信していることが判明しました。
報告書によると、「TaintDroidを使用して30の人気サードパーティ製Androidアプリケーションの動作を監視したところ、20のアプリケーションでユーザーの個人情報が悪用される可能性のある事例が68件見つかりました。」
調査報告書は、「一部の携帯電話のオペレーティング システムでは、位置センサー、カメラ画像、連絡先リストなどの機密情報へのアプリケーションのアクセスをユーザーが制御できるようになっていますが、アプリケーションが個人データをどのように使用するかについてはユーザーには把握されていません」と結論付けています。
これはAndroidの問題を要約したものです。Android OSにはセキュリティ管理機能が備わっており、アプリ開発者がユーザーの同意なしに機密情報にアクセスしたり共有したりすることを許可していません。しかし、アプリのインストールプロセスで承認が得られた後、その情報がどのように、いつ使用されるかについて、ユーザーにはそれ以上の詳細が提供されません。
研究者たちは、問題となっているアプリが、デバイスに広告が表示されていない時でさえ、ユーザーの電話番号や現在のGPS位置情報などの機密データを広告ネットワークに送信していることを発見しました。アプリ開発者は許可を与えたと主張することができますが、実際には、ほとんどの場合、アプリ開発者は機密情報へのアクセスが必要な理由や、その情報がどのように使用されるのかを詳細に説明していません。ユーザーは盲目的に開発者を信頼し、アプリをインストールして使用する権利と引き換えに、機密情報への無条件アクセスを許可しているのです。
この信頼の侵害と個人のプライバシーの侵害はユーザーにとって懸念事項ですが、Androidスマートフォンを組織のネットワークインフラやリソースに接続するという需要の高まりに直面しているIT管理者にとっては、さらに大きな問題です。機密情報の共有方法とタイミングを適切に管理できず、リモートデバイスを監視・保護する機能も備えていないIT管理者は、良心の呵責なくAndroidスマートフォンを環境に導入することはできません。
もちろん、Androidがオープンソースであるからこそ、研究者たちはアプリの挙動を調査し、この問題を発見するためのTaintDroidツールを開発することができました。IT管理者は、サードパーティ製アプリが機密情報にどの程度アクセスできるのか、そしてそのデータが他のプラットフォームでどのように使用されているのかを注意深く見守る必要があります。
