Androidアプリのデータ収集とプライバシー

Android-privacy-icon

無料アプリのリスク

Play ストアで提供されている多くの無料アプリは、広告の表示や収集した個人情報をパートナー企業に販売して収益を得ており、 Avast 傘下の Jumpshot(問題発覚後に運用停止)は 匿名の使用データを集約して販売する 企業で、Jumpshot のクライアントには Google・Microsoft・ペプシなど大手企業 も含まれており、数百万ドルの収益を上げていた。

広告はアプリの使用中に表示されるため分かりやすいが、収集されているデータについてはデベロッパーでの処理が見えず、データを共有している場合は提携先の処理も見えないが、アプリの使用許諾書に同意した時点で個人データの収集と販売を許可することになる。 

6割以上が機能しないアンチウイルスアプリ

セキュリティアプリのテストを行う独立組織 AV-Comparatives が 2019年 3月に発表した Android Test 2019 – 250 Apps では、マルウェアの検出率 80%以上のアプリは 20%弱で、ほとんどのアプリがセキュリティアプリとして機能していないという結果が出ている。

Android-Data-Safety-013

セキュリティアプリとして機能していないアプリには LINEアンチウイルス も含まれており、これらのアプリは Google Playストアのテストに合格するため、一部の古いマルウェアのサンプルにしか対応しておらず、個人情報の収集や広告収入を得ることが目的の マルウェアに近い存在になる。

テスト結果のうち61 件はリスクのある危険なアプリで、すでに Playストアからは削除されているが、開発元を変えて派生品が生まれるため、イタチごっこの状態が続いている。

AV-Comparatives は セキュリティベンダーでない企業やアマチュアプログラマーが提供しているセキュリティアプリの多くはまともに機能していない と指摘しており、実績のあるセキュリティーベンダーが提供しているアプリの使用を推奨している。

オープンソースの無料アプリ

大手企業が提供しているアプリの 個人情報収集に反対し、プライバシー保護を目的にオープンソースで開発されているアプリも存在する。

プライバシー保護を重視したアプリは、寄付で運営されている非営利団体が開発していたり、オープンソースプロジェクトとして有志が完全無料で提供しているる場合もあるが、多くはアプリの開発・維持にかかるコストを得るため基本的には有料で、機能制限された状態で無料利用できる。

Fences
Start11
PassFab 4Winkey banner
ToDo Buckup
Revo Uninstaller banner1
Repairit banner
Fences
Start11
PassFab 4Winkey banner
ToDo Buckup
Revo Uninstaller banner1
Repairit banner

データセーフティ

Android-Data-Safety-007

Google Playストアでは データ セーフティ で収集されるデータと共有されるデータを確認できるが、記載の情報は アプリを提供しているデベロッパーが自己申告しているもので、申告内容と実際のデータ取り扱いについて Googleは審査を行っていない ため、アプリの安全性を担保するものではない。

危険な権限

Googleが定義している 危険な権限カメラマイク位置情報電話をかける連絡先の読取り外部ストレージへの書込み などの機密情報を含む非公開のユーザーデータで、アプリをインストールした際に Androidのシステムがダイアログでアクセス許可を求めてくる。

AirDroid-for-Android-019

危険な権限といってもアクセスを許可しなければ機能しないアプリも多く、アクセス権限のみで危険なアプリを判断することは難しいが、不自然な権限を要求してくるアプリには注意が必要。

Android-Data-Safety-010

Android-Data-Safety-011

アプリが要求する権限はアプリの詳細画面から このアプリについて を開き、アプリケーションソフトウェアの情報 にある アプリの権限詳細 で確認できる。

Android-Data-Safety-012

メッセージアプリ・セキュリティアプリ・ファイルマネージャー・システム最適化アプリなどは、機能的に危険な権限へのアクセス許可が必要になるため、悪意のあるアプリの偽装に使用されるケースが多い。

2019年 Avastは無料の懐中電灯アプリを調査したレポートには 最大で 77のアクセス権限を求めていた ことが記されている。

収集されたデータと個人情報

多くのアプリがアクセス権限を要求している デバイスまたはその他のIDIMEI番号MACアドレス はデバイス固有の番号のため、アカウントを使い分けていてもデバイスの IMEI番号で集約すると使用しているメールアドレスやアカウント名などが分かる。

Android-Data-Safety-014

IMEI 番号端末識別番号 で メーカー番号・機種番号・国番号・シリアル番号 で構成されており、IMEI番号だけで得られる情報は少ないが、複数の匿名の使用データを IMEI 番号で 集約して精査すると アカウント名・メールアドレスのほか、活動範囲や使用アプリなど個人を特定できるレベルの情報になる

プライバシーの保護

プライバシー重視派はアプリやサービスの利用に必要以上のデータ収集を行っていることを問題にしているため、データ収集による被害についても可能性の話なので、不自然なアクセス権限を要求してくるようなアプリを除き、最終的にはアプリを提供しているデベロッパーを信頼できるか否かで判断することになる。

Android-Data-Safety-015

Android 6.0以降でインストールしたアプリに付与されている権限は後から変更が可能になり、設定アプリ から アプリを開き、アプリの情報 にある 権限 で制御できる。

Android-Data-Safety-016

設定プライバシー にある 権限マネージャー からは 危険な権限 にアクセスできるアプリの確認 と アクセス制御が可能になっている。

アクセス許可を拒否した後でも位置データを収集するアプリが確認 されているが、Android 10以降でブロックが可能になった。

Android-Data-Safety-017

GlassWire はアプリの通信を監視し、有料版にアップグレードするとアプリ単位で通信をブロックできる。

データ漏洩の確認

Android-Data-Safety-018

Cybernews では携帯電話番号とメールアドレスでデーラ漏洩を確認できる。

パスワードの管理と漏洩リスク - Password Manage-005

‘;–have i been pwned? ではメールアドレスやパスワード が過去に侵害されたか確認することができる。

関連記事
Android-Store-icon

Google Playストア の代替えストアアプリ

Google Playストア の代替えストアアプリ – Google Mobile Service が不要な AuroraStore・APKMirror・APKPure など Android の非公式ストアアプリのインストールと使い方

Android-Tools-icon

Android Flash Tool の 使用手順

Google Pixel2以降の Google製デバイスをウェブ上の操作で指定したバージョンのファクトリーイメージにフラッシュバックできる Googleが提供している フラッシュツール Android to Flash Tool の使用手順

Android-Settings-icon

Androidデバイスの 静的IPアドレスの設定方法

Android デバイスのネットワーク管理プロトコルをDHCPから 接続先の IPアドレス固定する 静的IPに変更し、Wi-Fi 接続に発生するDHCP のIP取得エラーを回避する Androidデバイス の 静的IPアドレス 設定方法

Android-Security-icon

Androidのセキュリティ問題とサポート期間

Androidのセキュリティ問題とサポート期間 – フラグメント化が問題視される Android のバージョンアップと、製造メーカーが配信するセキュリティパッチ など、Android が抱える サポートとセキュリティ問題に関するレポート