Androidアプリのデータ収集とプライバシー

無料アプリのリスク

Play ストアで提供されている多くの無料アプリは、広告の表示や収集した個人情報をパートナー企業に販売して収益を得ており、 Avast 傘下の Jumpshot(問題発覚後に運用停止)は 匿名の使用データを集約して販売する 企業で、Jumpshot のクライアントには Google・Microsoft・ペプシなど大手企業 も含まれており、数百万ドルの収益を上げていた。

広告はアプリの使用中に表示されるため分かりやすいが、収集されているデータについてはデベロッパーでの処理が見えず、データを共有している場合は提携先の処理も見えないが、アプリの使用許諾書に同意した時点で個人データの収集と販売を許可することになる。 

6割以上が機能しないアンチウイルスアプリ

セキュリティアプリのテストを行う独立組織 AV-Comparatives が 2019年 3月に発表した Android Test 2019 – 250 Apps では、マルウェアの検出率 80%以上のアプリは 20%弱で、ほとんどのアプリがセキュリティアプリとして機能していないという結果が出ている。

Android-Data-Safety-013

セキュリティアプリとして機能していないアプリには LINEアンチウイルス も含まれており、これらのアプリは Google Playストアのテストに合格するため、一部の古いマルウェアのサンプルにしか対応しておらず、個人情報の収集や広告収入を得ることが目的の マルウェアに近い存在になる。

テスト結果のうち61 件はリスクのある危険なアプリで、すでに Playストアからは削除されているが、開発元を変えて派生品が生まれるため、イタチごっこの状態が続いている。

AV-Comparatives は セキュリティベンダーでない企業やアマチュアプログラマーが提供しているセキュリティアプリの多くはまともに機能していない と指摘しており、実績のあるセキュリティーベンダーが提供しているアプリの使用を推奨している。

オープンソースの無料アプリ

大手企業が提供しているアプリの 個人情報収集に反対し、プライバシー保護を目的にオープンソースで開発されているアプリも存在する。

プライバシー保護を重視したアプリは、寄付で運営されている非営利団体が開発していたり、オープンソースプロジェクトとして有志が完全無料で提供しているる場合もあるが、多くはアプリの開発・維持にかかるコストを得るため基本的には有料で、機能制限された状態で無料利用できる。

Fences
Start11
PassFab 4Winkey banner
ToDo Buckup
Revo Uninstaller banner1
Repairit banner
Fences
Start11
PassFab 4Winkey banner
ToDo Buckup
Revo Uninstaller banner1
Repairit banner

データセーフティ

Android-Data-Safety-007

Google Playストアでは データ セーフティ で収集されるデータと共有されるデータを確認できるが、記載の情報は アプリを提供しているデベロッパーが自己申告しているもので、申告内容と実際のデータ取り扱いについて Googleは審査を行っていない ため、アプリの安全性を担保するものではない。

危険な権限

Googleが定義している 危険な権限カメラマイク位置情報電話をかける連絡先の読取り外部ストレージへの書込み などの機密情報を含む非公開のユーザーデータで、アプリをインストールした際に Androidのシステムがダイアログでアクセス許可を求めてくる。

AirDroid-for-Android-019

危険な権限といってもアクセスを許可しなければ機能しないアプリも多く、アクセス権限のみで危険なアプリを判断することは難しいが、不自然な権限を要求してくるアプリには注意が必要。

Android-Data-Safety-010

Android-Data-Safety-011

アプリが要求する権限はアプリの詳細画面から このアプリについて を開き、アプリケーションソフトウェアの情報 にある アプリの権限詳細 で確認できる。

Android-Data-Safety-012

メッセージアプリ・セキュリティアプリ・ファイルマネージャー・システム最適化アプリなどは、機能的に危険な権限へのアクセス許可が必要になるため、悪意のあるアプリの偽装に使用されるケースが多い。

2019年 Avastは無料の懐中電灯アプリを調査したレポートには 最大で 77のアクセス権限を求めていた ことが記されている。

収集されたデータと個人情報

多くのアプリがアクセス権限を要求している デバイスまたはその他のIDIMEI番号MACアドレス はデバイス固有の番号のため、アカウントを使い分けていてもデバイスの IMEI番号で集約すると使用しているメールアドレスやアカウント名などが分かる。

Android-Data-Safety-014

IMEI 番号端末識別番号 で メーカー番号・機種番号・国番号・シリアル番号 で構成されており、IMEI番号だけで得られる情報は少ないが、複数の匿名の使用データを IMEI 番号で 集約して精査すると アカウント名・メールアドレスのほか、活動範囲や使用アプリなど個人を特定できるレベルの情報になる

プライバシーの保護

プライバシー重視派はアプリやサービスの利用に必要以上のデータ収集を行っていることを問題にしているため、データ収集による被害についても可能性の話なので、不自然なアクセス権限を要求してくるようなアプリを除き、最終的にはアプリを提供しているデベロッパーを信頼できるか否かで判断することになる。

Android-Data-Safety-015

Android 6.0以降でインストールしたアプリに付与されている権限は後から変更が可能になり、設定アプリ から アプリを開き、アプリの情報 にある 権限 で制御できる。

Android-Data-Safety-016

設定プライバシー にある 権限マネージャー からは 危険な権限 にアクセスできるアプリの確認 と アクセス制御が可能になっている。

アクセス許可を拒否した後でも位置データを収集するアプリが確認 されているが、Android 10以降でブロックが可能になった。

Android-Data-Safety-017

GlassWire はアプリの通信を監視し、有料版にアップグレードするとアプリ単位で通信をブロックできる。

データ漏洩の確認

Android-Data-Safety-018

Cybernews では携帯電話番号とメールアドレスでデーラ漏洩を確認できる。

パスワードの管理と漏洩リスク - Password Manage-005

‘;–have i been pwned? ではメールアドレスやパスワード が過去に侵害されたか確認することができる。

関連記事

ADB のセットアップ方法

パソコンと Androidベースのデバイスを接続してファイルのコピーやアプリのインストールを可能にする ADBソフトウェア SDK Platform-Toolsのセットアップと USBドライバのインストール手順

Androidの「制限付き設定」を解除する手順

Android 13で実装された個人データの保護機能で、主に Google Playストア以外のサイトからダウンロードしたアプリに適用される Androidの「制限付き設定」を解除する手順