ロボコール(自動音声による迷惑電話)ブロックアプリはあなたの暮らしから偽装やスパムのコールをなくすものだ。しかし主張するほどにそれらは信用できるものなのだろうか。
とあるセキュリティ研究者は、「こうしたアプリの多くが最初からあなたのプライバシーを踏みにじっている」と語る。
サイバーセキュリティ会社のNCCでシニアセキュリティコンサルタントを務めるDan Hastings(ダン・ヘスティングス)氏は、TrapCall、Truecaller、そしてHiyaを含む最も人気のロボコールブロックアプリを分析し、それらがかなりひどいプライバシー違反をしていることを突き止めた。
1日に数十件ものロボコールを受ける人もいるなど、この問題はひどくなる一方だ。こうした自動音声のコールはあなたが払う必要もないのに「IRS(米国国税庁)に払え」と要求したり、テックのサポートだと装ったりする。そうしたロボコールは往々にして、その番号を通常の電話のように見せかけてあなたに電話をとらそうとする。だが携帯電話ネットワークはスパムコールを除外しようとしていて、そうしたネットワークの多くがかかってくる電話をフィルターにかけるためのサードパーティのアプリに目を向けている。
しかし、ヘスティング氏はこうしたアプリの多くがユーザーまたはデバイスのデータをサードパーティのデータ分析会社に送っていると話す。プライバシーポリシーに基づいてユーザーの詳細を隠す代わりに、アプリの多くがユーザーの同意なしに情報を売って収益をあげている。
例えば、アプリのTrapCallはユーザーの電話番号をユーザーに伝えることなくサードパーティの分析会社であるAppsFlyerに送っていた。
同氏はまた、TruecallerとHiyaがたくさんある情報の中でもデバイスのタイプやモデル、ソフトウェアバージョンといったデータを、ユーザーがプライバシーポリシーに同意する前にアップロードしていた。これらアプリはAppleのデータ使用とシェアリングに関するアプリガイドラインに違反している、とH彼は語った。Appleのアプリガイドラインは、アプリメーカーがデータを使用したりサードパーティーに送ったりする前に最初に許可を得ることを義務付けている。
そのほかの多くのアプリも似たようなものだ。ヘスティング氏が試したところいくつかのアプリは、アプリがインストールされるやいなやすぐさま一部のデータをFacebookに送っていた。
「テックに詳しくなければ、大半のエンドユーザーはどのデータが実際に収集されてサードパーティに送られているのか知る由もない」と同氏は話した。「プライバシーポリシーは、テクニカル的に詳しくないユーザーが、アプリ使用中に自身に関するどのデータが収集されるのかを知る唯一の手段だ」。
プライバシー問題を指摘するヘスティング氏からのメールで行動を起こした会社はなかったと同氏は語る。彼がAppleに通報した後に、TrapCallがプライバシーポリシーをアップデートしただけだ。
TruecallerとHiyaを試したときに明らかになったのだが、アプリのプライバシーポリシーが「モニターされていないようだ」とヘスティング氏はAppleも非難している。
「プライバシーポリシーは素晴らしい。だがアプリは自ら改善される必要がある」とヘスディングス氏は指摘した。
「もし使用するすべのアプリのプライバシーポリシーを読んで理解しようとすれば、人々はこうしたアプリがいかに情報を収集しているか驚くことになるかもしれない。その日まで、エンドユーザーはアプリがプライベートな情報を実際にどのように扱っているかセキュリティ研究者の分析に頼るしかない」。
Truecallerの広報Manan Shah(マナン・シャー)氏はアプリが立ち上げられた時にユーザーのデータを送っていたことを認め、その後、修正した。それがいま反映され、「我々はAppleのガイドラインを守っている」と広報は話した。
Hiyaはアプリをダウンロードして立ち上げた時にデバイスデータをサードパーティサービスに送っていることをしぶしぶ認めた。しかし、個人情報は収集していない、と主張している。「我々は目下、こうした基礎的なデバイス情報がユーザーが明確に同意する前にシェアされることがないよう、プライバシーを強化中だ」と声明文で述べた。
TrapCallの広報は、この記事を掲載する前にコンタクトを取った時にはコメントしなかった。
イメージクレジット:Getty Images
[原文へ]
(翻訳:Mizoguchi)