おそらくここ丸1日の間に、InstagramやFacebookのフィードに流れた、Meitu(美图)アプリによるセルフィー写真を見たかもしれない。このアプリは、皮膚をスムースにし、顔をスリムダウンして、さらに仮想ブラシレイヤーやリップグロスまでも追加して、あなたの写真に美顔効果を追加する。このアプリは何年もの間、中国国内では人気があったが、アメリカ人ユーザーの心を捕らえたのはつい最近のことだ。Meituは先月香港で上場している。
しかしGoogle PlayやApp Storeから無料でダウンロードできるこのアプリに対して、セキュリティの専門家達はすぐに懸念を表明した。単純な写真アプリに必要とされる以上にユーザーの電話機に関する情報を集めるし、怪しいと言われているコードを含んでいると言うのだ。公平を期すならば、利用者自身のデータと引き換えに無償でダウンロードを許すアプリは、Meituだけではない。しかし、プライバシーを気にするユーザーは、そうしたアプリが収集するデータに関して慎重に考慮した方が良いだろう。
1つの写真アプリが、写真を撮影したり既にデバイスの上にある写真を編集したりするために、電話機のカメラとカメラロールへのアクセス許可を求めるのは普通のことだ。しかし情報セキュリティ研究者のGreg Linaresは、Andorid版のMeituはそれ以上のものを要求していると指摘した。このアプリが要求するのはユーザーが他に利用しているアプリ、電話機の正確な位置、デバイス識別番号(IMSI)、電話番号、キャリア、そしてWi-Fi接続に関する情報だ。
はっきり言わせて貰うけれど…あなたたちがインストールした中国の写真アプリってこんな許可を求めてくるんだよ?何が起きるか教えて欲しいね。
科学捜査の専門家であるJonathan Zdziarskiによれば、iOS版も同様にデータに飢えた代物だということだ。Appleはアプリが利用者のIMSIを取得できないような措置をとっているが、ZdziarskiはMeituが、携帯キャリアとiPhoneが脱獄済みかどうかの情報を収集していると指摘している。Zdziarskiは、Meituのコードの一部が、データ収集に対するApp Storeのポリシーに違反している可能性があること指摘している。Meituに対するコメントをAppleに求めたが、回答は得られていない。
結論:Meituは何やらカワイイもので皆を惹き付けて使わせようとしている、複数の分析やマーケティング、広告パッケージの寄せ集めだ。
Sudo Security Groupの社長であるWill Strafachも、MeituのiPhoneアプリを分析した。「iOSバージョンは、分析データの収集に関しては、おとなしい振舞しかしません。携帯キャリアといった『ある程度センシティブ』な情報を集めますが、分析パッケージとしては珍しいことではありません。沢山のアプリがこれを行っています」と彼は言った。Strafachは、ユーザーがお好みのアプリのプライバシー保護に関してチェックすることができるVerify.lyというサービスを運営している。
「この種のものが、どれほど普通に行われているかを意識しているひとは、ほとんどいないと思います。そして多くの人が、Androidバージョンの方がiOSバージョンよりも、より侵襲的であると言っています。とは言え、私はこうした議論が始まったことはとても良いことだと思っていますし、多くの情報セキュリティ関係者が、もっと多くのアプリをこじ開けて何が行われているかを見る気になると良いなと思っています」とStrafachは語る。
アプリの権限の濫用は、Meituに固有の問題ではない。多くの無料アプリが、核となる機能に必要なもの以上のデータを、ユーザーに対して要求している。そうした情報は、マーケティング担当者たちに販売されるか、利益を挙げるために他の目的に使われる可能性がある。
Linaresは侵襲的な無償アプリについて「これは新しい標準になりつつあります」と述べた。「これは私たちが現代社会の中で、いいね!やリツイートをしたがっているからなのです。こうしたアプリをダウンロードして、ソーシャルメディアでの存在感を得るためには、セキュリティには少しばかり目を瞑るのです」。
Meituは、アイデンティティの保護、サービスのアップグレード、犯罪捜査、そして顧客からのフィードバックに限定して顧客のデータを使用するとしているが、Linaresは、データが他の目的のために使用されることもあり得る、と注意を促している。AndroidバージョンでMeituに送信されるIMSI番号は、ユーザーが他のアプリやブラウザを使用する際に、ウェブ上でユーザーを追跡するために使用することができる。
「私たちはこのレポートに気がついていました。そして私たちのアプリがメディアや、有名人、そして消費者の注意を引いたなら、ある意味嬉しい問題です」Meituの広報担当者は、TechCrunchの問い合わせに対してこのように返信してきた。「私たちは、すべての製品リリースでAppleやGoogleと密接に協力しており、プライバシーポリシーに厳密に従っていることを保証したいと思います。また私たちのエンジニアはとても優秀なので、盗んだコードを使う必要もないと考えています」。
Meituは、なぜある種のユーザーデータを要求するのか、そしてその情報で何をするつもりなのかについての質問には回答していない。おそらくMeituは、中国の法律によってIMSI番号を収集することが要求されているのだろう、と指摘する研究者もいる。
「本当の質問は、あなたは知らない会社に喜んでそうしたデータを渡しますか?ということなのです。もし答えがノーなら私は渡しません。もしデータを渡さないオプションが与えられているならば、やはり私はノーと言うでしょう」とLinaresは語った。
[ 原文へ ]
(翻訳:Sako)