Androidアプリのデータ収集とプライバシー

無料アプリのリスク

Play ストアで提供されている多くの無料アプリは、広告の表示や収集した個人情報をパートナー企業に販売して収益を得ており、 Avast 傘下の Jumpshot（問題発覚後に運用停止）は 匿名の使用データを集約して販売する 企業で、Jumpshot のクライアントには Google・Microsoft・ペプシなど大手企業 も含まれており、数百万ドルの収益を上げていた。

広告はアプリの使用中に表示されるため分かりやすいが、収集されているデータについてはデベロッパーでの処理が見えず、データを共有している場合は提携先の処理も見えないが、アプリの使用許諾書に同意した時点で個人データの収集と販売を許可することになる。 

6割以上が機能しないアンチウイルスアプリ

セキュリティアプリのテストを行う独立組織 AV-Comparatives が 2019年 3月に発表した Android Test 2019 – 250 Apps では、マルウェアの検出率 80%以上のアプリは 20%弱で、ほとんどのアプリがセキュリティアプリとして機能していないという結果が出ている。

セキュリティアプリとして機能していないアプリには LINEアンチウイルス も含まれており、これらのアプリは Google Playストアのテストに合格するため、一部の古いマルウェアのサンプルにしか対応しておらず、個人情報の収集や広告収入を得ることが目的の マルウェアに近い存在になる。

AV-Comparatives は セキュリティベンダーでない企業やアマチュアプログラマーが提供しているセキュリティアプリの多くはまともに機能していない と指摘しており、実績のあるセキュリティーベンダーが提供しているアプリの使用を推奨している。

オープンソースの無料アプリ

大手企業が提供しているアプリの 個人情報収集に反対し、プライバシー保護を目的にオープンソースで開発されているアプリも存在する。

プライバシー保護を重視したアプリは、寄付で運営されている非営利団体が開発していたり、オープンソースプロジェクトとして有志が完全無料で提供しているる場合もあるが、多くはアプリの開発・維持にかかるコストを得るため基本的には有料で、機能制限された状態で無料利用できる。

• ファイルマネージャー： Material Files の設定と使い方
• メールサービス： Proton Mail for Android の使い方
• メッセージアプリ：Signal for Android の設定と使い方
• メモアプリ： Standard Notes for Android の設定と使い方
• メモアプリ：Joplin for Android の設定と使い方

Fences

Start11

PassFab 4Winkey banner

ToDo Buckup

Revo Uninstaller banner1

Repairit banner

データセーフティ

Google Playストアでは データ セーフティ で収集されるデータと共有されるデータを確認できるが、記載の情報は アプリを提供しているデベロッパーが自己申告しているもので、申告内容と実際のデータ取り扱いについて Googleは審査を行っていない ため、アプリの安全性を担保するものではない。

危険な権限

Googleが定義している 危険な権限 は カメラ・マイク・位置情報・電話をかける・連絡先の読取り・外部ストレージへの書込み などの機密情報を含む非公開のユーザーデータで、アプリをインストールした際に Androidのシステムがダイアログでアクセス許可を求めてくる。

危険な権限といってもアクセスを許可しなければ機能しないアプリも多く、アクセス権限のみで危険なアプリを判断することは難しいが、不自然な権限を要求してくるアプリには注意が必要。

アプリが要求する権限はアプリの詳細画面から このアプリについて を開き、アプリケーションソフトウェアの情報 にある アプリの権限 の 詳細 で確認できる。

メッセージアプリ・セキュリティアプリ・ファイルマネージャー・システム最適化アプリなどは、機能的に危険な権限へのアクセス許可が必要になるため、悪意のあるアプリの偽装に使用されるケースが多い。

収集されたデータと個人情報

多くのアプリがアクセス権限を要求している デバイスまたはその他のID の IMEI番号や MACアドレス はデバイス固有の番号のため、アカウントを使い分けていてもデバイスの IMEI番号で集約すると使用しているメールアドレスやアカウント名などが分かる。

IMEI 番号 は 端末識別番号 で メーカー番号・機種番号・国番号・シリアル番号 で構成されており、IMEI番号だけで得られる情報は少ないが、複数の匿名の使用データを IMEI 番号で 集約して精査すると アカウント名・メールアドレスのほか、活動範囲や使用アプリなど個人を特定できるレベルの情報になる。

プライバシーの保護

プライバシー重視派はアプリやサービスの利用に必要以上のデータ収集を行っていることを問題にしているため、データ収集による被害についても可能性の話なので、不自然なアクセス権限を要求してくるようなアプリを除き、最終的にはアプリを提供しているデベロッパーを信頼できるか否かで判断することになる。

Android 6.0以降でインストールしたアプリに付与されている権限は後から変更が可能になり、設定 の アプリ から アプリを開き、アプリの情報 にある 権限 で制御できる。

設定 の プライバシー にある 権限マネージャー からは 危険な権限 にアクセスできるアプリの確認 と アクセス制御が可能になっている。

アクセス許可を拒否した後でも位置データを収集するアプリが確認 されているが、Android 10以降でブロックが可能になった。

GlassWire はアプリの通信を監視し、有料版にアップグレードするとアプリ単位で通信をブロックできる。

• トラフィック監視：GlassWire for Android のインストールと使い方

データ漏洩の確認

Cybernews では携帯電話番号とメールアドレスでデーラ漏洩を確認できる。

‘;–have i been pwned? ではメールアドレスやパスワード が過去に侵害されたか確認することができる。

関連記事