いくつもの人気iPhoneアプリが“何千万台というモバイルデバイス”の位置情報を、データを売って儲けているサードパーティの会社と密かに共有している、とセキュリティ研究者のグループが指摘している。
お天気アプリやフィットネスアプリなどほとんどのアプリがきちんと作動するためにユーザーの位置情報へのアクセスを必要としているが、ダウンロード無料のアプリは収入につなげるために往々にして位置情報を共有している。
多くのケースで、そうしたアプリは正確な位置や他のセンシティブでユーザーの特定につながるようなデータを“絶えずいつでも”送信している。しかも多くの場合、位置情報がサードパーティと共有されるということを“ほとんど知らせていない”、とセキュリティ研究者はGuardianAppプロジェクトで述べている。
「センシティブな情報へのアクセスを許可することが、ユーザーの知らない、そして関わりを持ちたくない誰かに密かに自分のデータが送られる、ということを意味するかもしれない。そんな懸念なしに、人々は自分の携帯で好きなアプリ使うことができるようになるべきだ」と研究者の1人、Will Strafachは語る。
ネットワークトラフィックを監視するツールを使って調べたところ、研究者らはBluetoothビーコンやWi-Fiネットワークという名の下に位置データを収集する24の人気のiPhoneアプリを発見した。ユーザーがどこにいるのか、どこを訪れるのかを知るためだ。こうしたデータ売買で収入を得ている会社は、加速度計やバッテリー充電ステータス、通信ネットワークからもデバイスデータを収集している。
データ提供の見返りとして、こうしたデータ会社はデータを集めたアプリデベロッパーに金を払い、データベースを増強し、そしてユーザーの位置履歴をもとに広告を展開する。
彼らの多くが、個人を特定するようなデータは集めていないと主張するが、Strafachは緯度と経度の組み合わせで個人の自宅や職場を特定できると指摘する。
そうしたデータを収集しているアプリをいくつか挙げる。
ASKfmは10代をターゲットにした、匿名Q&Aアプリで、 Apple App Storeで1400のレートがつき、何千万ものユーザーを抱える。このアプリは”第三者とは共有されない”としてユーザーの位置情報へのアクセスを求める。しかし実際には位置データを2つのデータ会社、AreaMetricsとHuqに送っている。問い合わせたところ、このアプリデベロッパーはアプリが行なっているデータ収集は”業界の基準に適合していて、我々のユーザーにとっては許容範囲内だ”と答えた。
NOAA Weather Radarは26万6000のレビューがあり、何百万回もダウンロードされている。位置情報へのアクセスは”天気情報を提供するために使われている”。しかし3月から展開されたアプリの初期バージョンは3つのデータ会社、Factual、Sense360、Teemoに位置情報を送っていた。それからコードは除外されている。アプリを制作したApalonの広報担当は、今年初めに”いくつかのプロバイダーとかなり限定された簡単なテストを行なった”と話した。
Homes.comは、位置情報に基づいて”周辺の家を見つける”ことができる人気のアプリだ。しかしそのコードはー古いものだと思われるがーいまだに 正確な座標をAreaMetricsへと送っている。アプリメーカーは「昨年”短い間”AreaMetricsを使っていたが、コードはアクティベートされていない」と言っている。
Perfect365は1億人以上のユーザーを抱える美しいARアプリで、”ユーザーの位置情報などに基づいて体験をカスタマイズする”ために位置情報を求める。そして詳細はプライバシーポリシーを参照するようにと案内しているープライバシーポリシーでは位置データが広告に使用されると明記されている。このアプリは、今年BuzzFeedが調査結果を報じた後Appストアから削除されたが、数日後に戻ってきた。このアプリの最新のバージョンには、8つのデータ会社のコードが含まれている。この点について、アプリ開発元はコメントを避けている。
そしてリストはまだ続くーSinclairが所有する100以上のローカルニュースや天気アプリも含まれていて、これらはデータをトラッキングして収入を得ているRevealと位置情報を共有している。Revealが言うには、“ターゲット広告を出す広告主をアレンジする”ことで大メディア企業が売上を維持するのを手伝っている。
人気アプリのデベロッパーと、中には毎日何十億もの位置データを集めているところもあるデータ売買会社にとって、これは手っ取り早く儲かるビジネスだ。
データから収入を得ている会社のほとんどが、何も悪いことはしていないと否定し、ユーザーはいつでもデータへのアクセスを解除することができると言う。また、データを買う多くの会社がアプリデベロッパーに対して、位置情報を集めてサードパーティに渡していることを明言するように求めているとも言っている。
研究では、こうしたプロセスの実行はほとんど確認されていない、としている。
Revealは顧客に対し、位置データの使用をプライバシーポリシーに明記するよう求めているとし、さらにはユーザーはいつでもデータへのアクセスを解除することができると話している。HuqもReveal同様、自社のサービスを説明するという方策を“パートナーアプリが履行しているか確かめるために定期的なチェック”を実行している、と話す。コーヒーショップや小売店といった公共の場所から主にBluetoothビーコンデータを集めるAreaMetricsは、ユーザーから個人情報を受信することには“関心なし”としている。
Sense360は、集めるデータは匿名化されていて、アプリにはユーザーのはっきりとした同意を得るよう求めている、としているが、Strafachは彼が見たアプリのほとんどがそうした保険的な意味合いのある文言を含んではいなかった、と指摘した。しかし、Sense360はなぜ特定のアプリと手を切ったのか、というより具体的な質問に対しては答えなかった。Wireless Registryも、アプリ側にユーザーの同意を得るよう求めていると言っているが、ユーザーのプライバシーを確保するためのセキュリティ手段についてはおそらくコメントしないだろう。inMarketは、広告の基準とガイドラインに従っている、と文面で述べた。
Cuebiqは、データを蓄積して送るために“高度な暗号方法”を使っていると主張しているが、Strafachはデータがスクランブルをかけられているという“証拠はなかった”としている。Cuebigは、“トラッカー”ではない、と言い、そしていくつかのアプリデベロッパーはユーザーのデータを渡して収入を得ているが、ほとんどのアプリデベロッパーは分析のために使っている、とも言う。そしてFactualは広告と分析に位置データを使っているが、ユーザーからアプリ内での同意を得なければならないと話した。
Teemoにも話を聞こうとしたが、質問に答えなかった。SafeGraph、Mobiquity 、Fysicalはコメントのリクエストに応じなかった。
「実行に移さなければならない自己規制のようなものがあるにもかかわらず、ほとんどの会社の主張や行なっていることには法的責任を伴っていない」とStrafachは語る。
またStrafachは、ユーザーができることはそう多くないが、iPhoneのプライバシー設定で広告トラッキングを制限することで、位置情報トラッカーがユーザーを特定するのは難しくなる、と話した。
プライバシーポリシーがないアプリに対するAppleの取り締まりは来月実施される。しかし、ほとんどの人がそもそもプライバシーポリシーを読まないことを考えると、アプリ側がすぐに行いを改めるということはなさそうだ。
[原文へ]
(翻訳:Mizoguchi)
位置情報データをもとにした広告配信サービスなどを提供する
