Androidアプリのデータ収集とプライバシー

Android-privacy-icon

無料アプリが収益化している個人情報の収集と Play ストアで確認できる 収集されるデータ・共有されるデータ、危険な権限などに関するレポート。

匿名データの収集

Playストアで提供されている多くの無料アプリは広告の表示や収集した匿名の使用データを販売して収益を得ており、匿名のデータはデータプロバイダー(データブローカー)によって集約され、マーケティングや分析目的で他の企業に販売されている。

通常データプロバイダーで集約されたデータは匿名化されるが、加工前のデータは個人のオンラインの行動データ、購買履歴、公開情報、移動情報など個人の詳細なプロファイルが作成できるレベルで、近年はプライバシー保護の観点からデータの利用に対する規制が強化される傾向にある。

Avastはブラウザを保護するプラグインを導入したユーザーの閲覧履歴を傘下のデータプロバイダー Jumpshot(問題発覚後に運用停止)に送信し、Jumpshot は1億台のデバイスから収集したデータを加工して Google・Microsoft・ペプシなど大手企業 に販売、数百万ドルの収益を上げていた。

広告はアプリの使用中に表示されるため分かりやすいが、収集されているデータについてはデベロッパーでの処理が見えず、データを共有している場合は提携先の処理も見えず、どのように利用されているか知る術がない。

IMEI番号

Android-Data-Safety-014

多くのアプリがアクセス権限を要求している デバイスまたはその他のIDIMEI番号 MACアドレス はデバイスの固有番号で、アカウントを使い分けていてもデバイスの IMEI番号で集約すると使用しているメールアドレスやアカウント名などが分かる。

IMEI 番号端末識別番号 で メーカー番号・機種番号・国番号・シリアル番号 で構成されており、IMEI番号だけで得られる情報は少ないが、複数の匿名の使用データを IMEI 番号で 集約して精査すると アカウント名・メールアドレスのほか、活動範囲や使用アプリなど個人を特定できるレベルの情報になる

データセーフティ

Android-Data-Safety-007

Playストアでは データ セーフティ で収集されるデータと共有されるデータを確認できるが、記載の情報は アプリを提供しているデベロッパーが自己申告しているもので、申告内容と実際のデータ取り扱いについて Googleは審査を行っておらず、アプリの安全性を担保するものではない。

オープンソースの無料アプリ

大手企業が提供しているアプリの個人情報収集に反対し、プライバシー保護を目的にオープンソースで開発されているアプリも存在する。

プライバシー保護を重視したアプリは、寄付で運営されている非営利団体が開発していたり、オープンソースプロジェクトとして有志が完全無料で提供しているる場合もあるが、多くはアプリの開発・維持にかかるコストを得るため基本的には有料で、機能制限された状態で無料利用できる。

Fences
Start11
PassFab 4Winkey banner
ToDo Buckup
Revo Uninstaller banner1
Repairit banner
Fences
Start11
PassFab 4Winkey banner
ToDo Buckup
Revo Uninstaller banner1
Repairit banner

6割以上が機能しないアンチウイルスアプリ

Android Test 2019 – 250 Apps

セキュリティアプリのテストを行う独立組織 AV-Comparatives は、Playストアで公開されているセキュリティアプリを検査し、250個のうちマルウェアの検出率 80%以上のアプリはわずか 20%弱で、ほとんどのアプリがセキュリティアプリとして機能していないという 結果を公表

Android-Data-Safety-013

セキュリティアプリとして機能していないアプリには LINEアンチウイルス も含まれており、これらのアプリは Google Playストアのテストに合格するため、一部の古いマルウェアのサンプルにしか対応しておらず、個人情報の収集や広告収入を得ることが目的の マルウェアに近い存在になる。

テスト結果のうち61 件はリスクのある危険なアプリで、すでに Playストアからは削除されているが、開発元を変えて派生品が生まれるためイタチごっこの状態が続いている。

AV-Comparatives は セキュリティベンダーでない企業やアマチュアプログラマーが提供しているセキュリティアプリの多くはまともに機能していない と指摘しており、実績のあるセキュリティーベンダーが提供しているアプリの使用を推奨している。

危険な権限

AirDroid-for-Android-019

危険な権限といってもアクセスを許可しなければ機能しないアプリも多く、アクセス権限のみで危険なアプリを判断することは難しいが、不自然な権限を要求してくるアプリには注意が必要。

Googleが定義している 危険な権限カメラマイク位置情報電話をかける連絡先の読取り外部ストレージへの書込み などの機密情報を含む非公開のユーザーデータで、アプリをインストールした際に Androidのシステムがダイアログでアクセス許可を求めてくる。

Android-Data-Safety-010

Android-Data-Safety-011

アプリが要求する権限はアプリの詳細画面から このアプリについて を開き、アプリケーションソフトウェアの情報 にある アプリの権限詳細 で確認できる。

Android-Data-Safety-012

メッセージアプリ・セキュリティアプリ・ファイルマネージャー・システム最適化アプリなどは、機能的に危険な権限へのアクセス許可が必要になるため、悪意のあるアプリの偽装に使用されるケースが多い。

2019年 Avastは無料の懐中電灯アプリを調査したレポートには 最大で 77のアクセス権限を求めていた ことが記されている。

権限の制御

Android-Data-Safety-015

Android 6.0以降でインストールしたアプリに付与されている権限は後から変更が可能になり、設定アプリ から アプリを開き、アプリの情報 にある 権限 で制御できる。

Android-Data-Safety-016

設定プライバシー にある 権限マネージャー からは 危険な権限 にアクセスできるアプリの確認 と アクセス制御が可能になっている。

アクセス許可を拒否した後でも位置データを収集するアプリが確認 されているが、Android 10以降でブロックが可能になった。

Android-Data-Safety-017

GlassWire はアプリの通信を監視し、有料版にアップグレードするとアプリ単位で通信をブロックできる。

StreamFab banner
CleverGet banner
DVDFab banner
Prof. Media banner
Epubor banner
StreamFab banner
CleverGet banner
DVDFab banner
Prof. Media banner
Epubor banner

データ漏洩の確認

Android-Data-Safety-018

Cybernews では携帯電話番号とメールアドレスでデーラ漏洩を確認できる。

パスワードの管理と漏洩リスク - Password Manage-005

';--have i been pwned? ではメールアドレスやパスワードが過去に侵害されたか確認することができる。

備考

プライバシー重視派はアプリやサービス利用時に必要以上のデータ収集が行われていることを問題にしているため、データ収集による被害についても可能性の話しに過ぎないが、現実問題として詐欺や強盗の標的は何らかのデータに基づいてリストアップされているので、要人でなくてもプライバシー保護は重要だったりする。

関連記事

ADB のセットアップ方法

パソコンと Androidベースのデバイスを接続してファイルのコピーやアプリのインストールを可能にする ADBソフトウェア SDK Platform-Toolsのセットアップと USBドライバのインストール手順

Androidデバイスの 静的IPアドレスの設定方法

Android デバイスのネットワーク管理プロトコルをDHCPから 接続先の IPアドレス固定する 静的IPに変更し、Wi-Fi 接続に発生するDHCP のIP取得エラーを回避する Androidデバイス の 静的IPアドレス 設定方法

Androidのセキュリティ問題とサポート期間

Androidのセキュリティ問題とサポート期間 - フラグメント化が問題視される Android のバージョンアップと製造メーカーが配信するセキュリティパッチなど、Androidが抱えるサポートとセキュリティ問題に関するレポート。