Android アプリ用の広告ライブラリー内に、ユーザーの個人情報などを取得するコードが発見される 46
追跡が好きな人々 部門より
headless 曰く、
米セキュリティ会社 Veracode の調査によると、Android 用の無料アプリが使用する広告ライブラリーに、ユーザーの個人情報などを広告プロバイダーに送信するコードが含まれていたとのこと (Veracode のブログ記事、その続報、Engadget Japanese の記事より) 。
4 月 4 日に Pandora Media が米国証券取引委員会に提出した書類の中で、同社を含む複数のスマートフォン向けアプリの開発元が、連邦大陪審からの召喚状を受け取っていることが明らかになった。これは、スマートフォン用のアプリから不正に収集されたユーザーの個人情報が、広告プロバイダーと共有されているという件の調査に関するものとみられている。Wall Street Journal の記事によると、Pandora の場合は iPhone 版 / Android 版ともに、ユーザーの年齢、性別、場所、端末固有の情報を複数の広告プロバイダーに送信していたという (CNET Japanの記事) 。
これに興味を持った Veracode が分析したところ、Android 版の Pandora には 5 つの広告プロバイダーのライブラリーが使用されており、個人情報や GPS の位置情報、Android ID などにアクセスするコードがライブラリー側に含まれていたのだという。なお、Pandora のマニフェストでは GPS アクセスを許可していないため、実際に位置情報を取得することはできないが、GPS 機能を使用するアプリに同じ広告ライブラリーを組み込んだ場合には、位置情報の取得および送信が行われてしまう可能性がある。Veracode の調査では、「CBS News」などの GPS 機能を使用する Android アプリで、上記ライブラリーの 1 つ「AdMob」が組み込まれているという。このようなことから、Veracode は Pandora 側が広告ライブラリーの動作を知らずに組み込んでいた可能性も指摘している。
変なタレコミ (スコア:1, 興味深い)
本文では明確に「iPhone、Android」ともにという話なのに
件名にAndroidしか含まないのは
いったいどういう意図からでしょう?
セキュリティにおいて、主語は非常に重要な要素です。
間違いなく編集者の意図によるものですので、
その点を明確にするべきでしょう。
Re:変なタレコミ (スコア:1, 参考になる)
んー、この記事には2つの情報が含まれていて、そのうちのひとつに焦点を当てているためだと思います。
という情報が前段で、これを受けて
という後段(Android版を解析したらホントにあったよ!)がこの記事のメイン。
まあミスリーディングでよろしくない記事だとは思いますがね。iPhone版は解析しなかった(できなかった?)んじゃないですかね…。
Re:変なタレコミ (スコア:1, フレームのもと)
他の方の指摘もありますが今回のネタはアプリ本体でなく「広告ライブラリ」が
スパイしていたという点が重要なので、もちろん調査したのがAndroid版だということも
ありますが、さらに Android としての注意喚起が必要になるかと思います。
というのも iPhone は元々ダダ漏れですが、Androidはアプリによって個人情報へのアクセス制限がかけらます。
このため「Androidアプリ開発者」にとってみれば、自身のアプリに不必要なアクセス許可を
許してしまうと、自身は何もしなくても広告ライブラリが勝手に情報を送信し、
開発者が意図せぬままにスパイウェア化してしまうことが考えられます。
こと個人情報漏洩に関していうと、iPhoneの方がよりヒドイ状況なのは想像に難くないですが
どうしようもなくヒドイ分、逆説的にユーザーもアプリ開発者も諦めるしかない。
Androidはある程度は制限が掛けられる分、ユーザーも開発者も下手に公開範囲を悩まないといけないので
ニュースとしても情報周知が必要となる。
つまり最終的にハッピーなのは、とっくに魂を売り渡したのだから今さら個人情報を売り渡すことなど
なんとも思わない Apple/iPhone 信者だということに・・・なりますか?
Re: (スコア:0)
Re: (スコア:0)
>Veracode が分析したところ、Android 版の Pandora には 5 つの広告プロバイダーのライブラリーが使用されており、
>個人情報や GPS の位置情報、Android ID などにアクセスするコードがライブラリー側に含まれていたのだという。
Veracodeが調査したのはAndroid版アプリです。iPhone版は調べてないから、「個人情報などを取得するコード」は発見されていません。
タレコミはタイトルでVeracodeの調査を話題にしていることを明らかにしており、本文でもVeracodeの調査に焦点を当てています。
調査してないiPhone版の話がタイトルに入ってたら、その方がおかしいです。
なんでiPhone版は調査対象にしなかったんでしょうね。
Android版より調べにくいんでしょうか?
Re: (スコア:0, おもしろおかしい)
>マカーとはそういう人種なのです
iPhoneだったらマカーじゃなっくてアフォーじゃないのか?
Re:変なタレコミ (スコア:1)
アフォちゃいまんねんマカでんねん
こういうコードって、入ってるだけで問題なのだろうか? (スコア:0)
広告プラットフォームみたいにいろんなアプリから使われる前提のプログラムには、
いろんな広告手法やオプトインで許可された範囲に対応できるよう
多くの汎用コードが入ってるのはむしろ当然だと思っていたのですが。
特にAndroidの場合、アプリをインストールする際のセキュリティ情報として
「位置情報を取得」や「携帯IDを送信する」などが明確に示され、
それを許諾しないとアプリのインストールができません。
権限がざっくばらんすぎる、もっと細かく制限で切るべきだ、など
ブラッシュアップは今後も必要な点ではありますが、
それらを省みることもなく「コードが入ってたらNG」だとすると?
HDDの内容を消去できてしまうWindowsそのものが破壊的なソフトウェアなんだ、とか
データを漏洩させてしまうことができるTCP/IPそのものが破壊的な規格なんだ、とかと
同じ臭いがし始めます。
Re:こういうコードって、入ってるだけで問題なのだろうか? (スコア:1)
「送信していたという」っていうんだから「入ってるだけ」ではないでしょう
話題になっているのは
>ユーザーの年齢、性別、場所、端末固有の情報を複数の広告プロバイダーに送信していた
ですよ。コードが入っていた、いない、ではなく実行していた動作について。
Re: (スコア:0)
非常に分かりづらいタレコミですが、
「送信していた」の話は過去の話であって今回の趣旨ではありません。
今回の趣旨は
「で、それに興味を持った人が、Androidの広告プラットフォームを調べてみたところ」
という話で
「GPSによる位置情報が取得されうるコードが入っていた」のところです。
ただし件のアプリではGPSによる位置情報取得のパーミッションが申請されていないため、
アプリはGPS機能を使用できない状況に置かれます。
つまり広告プラットフォームのGPS位置情報取得コードは
「入っているけど、動作はしない」状態なわけです。
もちろん位置情報が取得できないので送信もできません。
ですので、今回のタレコミは
「コードが入っていること自体」についての問題提起にしかなりえません。
動作するかどうかは別問題です。
Re:こういうコードって、入ってるだけで問題なのだろうか? (スコア:1)
「位置情報は」送信されてないだけでほかの情報は送信されてるんじゃないの?
なにもGPSによる位置情報だけを問題視してるわけじゃないですよ?
>「送信していた」の話は過去の話であって今回の趣旨ではありません。
今は修正されてる(?)にしたってそれが趣旨から外れてるとは思えませんが。
Re: (スコア:0)
しかも、ライブラリ使用者が意図しない動作である可能性もあるのにね。
WinGroove の作者かっつーの。
試験的に導入したHDDフォーマットのコードを消し忘れました。コードが入っているだけで正規ユーザーには影響無いので何の問題もありません(キリッ
Re: (スコア:0)
>しかも、ライブラリ使用者が意図しない動作である可能性もあるのにね。
>WinGroove の作者かっつーの。
特定機能用アプリと汎用ライブラリで全然話は違うのだが。
やっぱWindowsやMacはウイルスなんだという論調なのだろうか。
あと、気づいてないんだろうけど、iPhoneなどiOS端末も同じ
(むしろアプリインストール時のセキュリティ確認がない分もっと酷い)ね。
Re:こういうコードって、入ってるだけで問題なのだろうか? (スコア:1)
Re: (スコア:0)
>汎用ライブラリじゃなく「広告の表示とそのためのユーザー情報収集」ライブラリですけど。
十分「そういう用途への汎用ライブラリ」だと思いますが。
iOSではそれを止めるすべもなく完全動作ですから、
Androidに向けた矛先は鋭さを増した上でiOSに向かいますね。
Re:こういうコードって、入ってるだけで問題なのだろうか? (スコア:1)
Androidを盲信するあまり話題の本質から目をそらしiOSを叩く…
宗教じゃないんだからそういうの辞めましょうよ
Re: (スコア:0)
>Androidを盲信するあまり話題の本質から目をそらしiOSを叩く…
元々iOSもAndroidも同じ問題があることが明白で、
さらにiOS側にだけ欠けているものがある、という
これも明白な事実ゆえの流れですが。
Appleに都合の悪いものは存在しないのですかね。
Re:こういうコードって、入ってるだけで問題なのだろうか? (スコア:1)
広告用のライブラリが個人情報の収集をしていること自体が問題視されてるって話題であって
OSの欠陥の話してるわけじゃないですよ
Re: (スコア:0)
Re: (スコア:0)
>痛い文章を長々書く時間を、タレコミ本文を読む時間にあてよう!
脊髄反射する前に、まず自分の理解のなさを自覚するところから始めた方がいいよ。
Re: (スコア:0)
Androidの場合、iPhoneと違って、おっしゃるようにインストールしようと
しているアプリが端末上のどんな情報やデバイスにアクセスするのか最初に
表示しますよね。
ユーザが「それでもよい」と判断して入れたなら、連絡帳やGPSに
アクセスしようとも、それはしょうがない。
今回のがそういう警告表示なしで入れられたものなら大問題。
もはや悪意が感じられるのでマルウェア認定しちゃっていいと思う。
どうせ埋め込まれてるのは無料アプリなんでしょ? (スコア:0)
Re: (スコア:0)
ここで問題とされているのは個人情報の価値が無料アプリ使用料に釣り合うかどうかではありません。
値札の付いてない商品があるなら売主に値段を聞くべきであって
自分で勝手にこれは1円だと値をつけて、1円玉を置いて商品を取った場合、それは窃盗です。
もしかして (スコア:0)
認証用のGoogleメアドだけなんですが、そのメアドで登録したニックネーム宛で
企業の採用情報メールが頻繁に来るようになったんだけど、関係あるのかな。
Re:もしかして (スコア:1, おもしろおかしい)
GPS機能で、家から一歩も出ていないって事が
送信されてしまってるってこと?
Androidで年齢・性別は無理じゃないかなぁ (スコア:0)
Androidだとユーザの年齢・性別は取得が非常に難しく(そんなパーミッション入れてたら客が逃げる)、場所も元々GPSアクセスを使うアプリのみ。
端末固有情報も同じくパーミッションが必要ですが、ファクトリリセットする度に生成されるUUIDがパーミッションなしで使えるのでそっちをトラッキングに使うものが多いんじゃないかな。
あまり実態に則していないと思います。
iPhoneに関しては正しいんでしょうけど。
Re: (スコア:0)
>端末固有情報も同じくパーミッションが必要ですが、
>ファクトリリセットする度に生成されるUUIDがパーミッションなしで使えるので
>そっちをトラッキングに使うものが多いんじゃないかな。
UUIDは簡単に偽装でき、やろうと思えば他人のUUIDに衝突させることも簡単ですので
トラッキングに使うには不安定材料が多く、
またかなりのリスク
(UUIDが衝突した状態でブラウズされ、各種履歴や傾向が不正に閲覧される、など)を負います。
実際、某サイトのiPhone向け認証において
UUIDを認証に使ってしまったが故に他人のUUIDに狙って衝突させたiPhoneにてその認証を突破され、
某御大から凸を受けてしまったサイトも存在します。
# ソフトバンク公式の電波チェッカーでも似た話があった気がしますがこの辺どうだったっけか
なので、UUIDに頼った広告ビジネスは無理ですね。
Re: (スコア:0)
目的とするターゲット層と実際に広告が表示される層が必ずしも100%一致しなくてもよい。
例えば20代女性向けの広告を、何人かの30代男性が見たとしても大した問題でないので、
UUIDの偽装率が十分に低ければ、広告モデルにUUIDキーは使える。
一方、他人の宅配便の配達履歴や再配達の手配が、例え1人でも実行可能なら大問題なので、
UUIDだけをキーに認証を行うのはリスクが大きい。
って感じで、要は使い分けでは。
Re: (スコア:0)
>UUIDの偽装率が十分に低ければ、広告モデルにUUIDキーは使える。
先にも書いたとおり、UUIDは「悪意ある者はそれこそ好きに変えられる」ものですので
偽装クリックの温床になります。
ですのでアフィ目的では使用できません。
次に、広告プラットフォームについてなにか誤解されているようですが
アングラ系の広告プラットフォームでもなければ
まっとうな信用は欠かせないものです。
「他人の行動履歴による情報を観れてしまった」ら、
その時点でプライバシーの問題となります。
これはUUIDが(あり得ないにしても、偶然)衝突してしまった場合も含まれます。
ここでの訴訟リスクは極大リスクですので中途半端なUUIDは使えません。
「他人と混同されてしまったら」その時点でアウトなんですよ。
Re: (スコア:0)
Re: (スコア:0)
>偽装が簡単で個人特定ができないならプライバシー問題にならないんじゃないの?
たとえば大手ショッピングサイトがUUIDで行動ターゲッティングを導入したところ、
あなたの商品閲覧履歴が他人から見て丸見えになった。
そこには宗教、セックス、銃兵器、薬物などの明らかに繊細な商品ばかり並んでいた、
としたらあなたはどうしますか?
(上記はあくまでも例として、米国での繊細な問題を抱える商品をあげただけです)
または、本当はあなたの閲覧履歴ではないのに、
あなたが友人知人の前で閲覧したらそんな商品ばかりが大量に履歴として出てきた。
どうやって払拭しますか?
行動ターゲッティングがより詳細になればなるほど情報の価値は上がりますが
他人と混同されたときの被害は激増します。
なのでUUIDなどでは済まない話になります。
そしてそのような情報でなければ、アプリ側もリスクを取ってまで導入する意味がない。
そこにはやはり市場原理がありますので。
Re: (スコア:0)
どうするか?
簡単です。どうにもしません。
私の履歴であることが誰かにわかるわけではありません。
誤解された?説明します。
それだけですよ?
Re: (スコア:0)
>私の履歴であることが誰かにわかるわけではありません。
本当にそれが分からないなら、情報として価値がない。
そのことに気づけませんか?
そこそこ妥当に「あなたであると判断される」程度の情報でなければ価値がなく、
そうであるなら「混同されると多大な被害を受ける」のです。
これでも分からないなら、社会人として
責任のある生活を数年経験してからどうぞ。
Re: (スコア:0)
キミの文章読解能力と文章構成能力も、
あと数年責任のある生活とやらを経験した方が良さそうだね。
#何を恐れているのか意味不明だぞ。
Re: (スコア:0)
広告マーケティングに必要なのは
「マーケティング対象の興味」であって
「マーケティング対象が誰か」ではありません。
広告を表示する上で
「そのUUIDを持った端末が今までどんな商品に興味を示したか」を記録する必要はありますが
「そのUUIDを持った端末の持ち主が誰か」を記録する必要がどこにありますか?
UUIDを購入履歴とヒモ付けて「ようこそ○○さん!」などとだすのであればそれは広告マーケティングの域を超えて
個人認証コードとしてUUIDを使用するという間抜けな実装であるだけです。
Re: (スコア:0)
Re: (スコア:0)
>UUIDとUDIDを混同していませんか?
偽装可能な時点でどちらも抱える問題の本質は同じですね。
・UUIDのほうがより変わりやすい(のでそもそも信用する材料にしづらい)
・UDIDのほうがより変わりづらい(ので信用されると他人と混同されたときの被害が大きい)
という点が
程度の問題として違うだけです。
どっちも、カネの流れを生む広告プラットフォームのソースにされたら
偽装クリックとなりすまし情報取得の温床になるだけです。
Re:Androidで年齢・性別は無理じゃないかなぁ (スコア:1)
偽装クリックにUUIDが絡む理由がいまいち想像出来ないのですが…
PCからのクリックならそもそもそんな物ないですし。
どういう理由でUUIDを変えられると偽装クリックしほうだいなのですか?
セキュリティが気になるアプリ利用者的に。 (スコア:0)
・インストール時のマニフェスト確認の文言が何を意味するのか分からない(特にステータスIDの取得とかいうもの)。もっと具体的に「電話帳にアクセス」「ユニークIDにアクセス」「所有者情報にアクセス」とか明確に分けてほしい。そうしたらインストール拒否するユーザーが増えるのを恐れているのかな?
・アップデートの判断が煩雑すぎ。マニフェスト変更をいちいち目で1つずつ確認しないといけないし、要件変更(OS最低バージョンが1.6から2.2にあがってみたり!)に至っては開発者がコメントに書いてくれてないと分からない。おかげでアップデートをまとめて実施なんて、怖くてできない(制約のある機種ばかり持ってるからでしょうけど、IS01なんて特に・・・)。
4.0辺りになったら、ちゃんと普通に心配せずに使える「大人のandroid」になってほしいところ。
# 一般層は平気で何でもインストールしちゃってる感じだけどね!
Re: (スコア:0)
セキュリティ上利用者に確認させられる項目が分かりづらいのは事実ですが、
>・アップデートの判断が煩雑すぎ。
>マニフェスト変更をいちいち目で1つずつ確認しないといけないし、
アプリごとに設定する更新設定を「更新(自動)」にすれば勝手に更新されるようになります。
ただしセキュリティ項目に変更がある場合は「更新(手動)」となり、確認を要求されます。
逆に言えば「更新(手動)」でない場合には
セキュリティ項目に変更はない、ということです。
>要件変更(OS最低バージョンが1.6から2.2にあがってみたり!)に至っては
>開発者がコメントに書いてくれてないと分からない。
よくわかんねーんだけど・・・ (スコア:0)
該当のライブラリを消せばいいんじゃないの?
もしくはダミーのライブラリを作るとか。
Re: (スコア:0)
それじゃ広告費もらえなくなっちゃうじゃん
Re: (スコア:0)
なんのはなし?
Re: (スコア:0)