PII, AndroidとiOS: で最も侵入的なアプリの権限 2018

モバイルプライバシーは、すべてのユーザーが注意を払う必要がある領域です. 言い換えると, ユーザーは、スマートフォンのプライバシーとアプリ開発者と共有される個人情報に非常に注意する必要があります. そしてそれにはたくさんの理由があります.

新しい統計によると、平均的なスマートフォンユーザーは 60 と 90 デバイスにインストールされているアプリ. これらのアプリのほとんどは、あなたとあなたが使用しているデバイスに関するある種の情報を要求します. 要求される個人情報には名前が含まれる場合があります, 電子メールアドレス, または物理アドレスさえ.

でもスマートフォンはとてもパワフルだから, 彼らはまたそれよりかなり多くを得ることができます, 正確な場所など, ノートンライフロックの研究者は指摘しました. 他のアプリは、デバイスのカメラまたはマイクへのアクセスを要求することで、さらに侵襲的になる可能性があります. 情報収集の前にユーザーの要求が要求されている間, 私たちの個人データへのアクセスのレベルはまだ驚くべきものです.

知ってた 45 最も人気のあるAndroidアプリの割合と 25 最も人気のあるiOSアプリのパーセントが位置追跡を要求します, 例えば? またはその 46 人気のAndroidアプリの割合と 25 人気のiOSアプリの割合は、デバイスのカメラにアクセスするための許可を要求します? 一部のAndroidアプリでは、SMSメッセージや通話ログへのアクセスを許可するように求められることもあります。.

研究者 深く掘り下げることにしました インストールされたアプリが収集しようとしているデータの種類を正確に把握する. この見積もりを行うには, 専門家チームがトップをダウンロードして分析しました 100 GooglePlayストアとAppleAppStoreの無料アプリ. アプリごとに, 研究者たちは、主に2つのことを明らかにしようとしました。それは、特定のアプリと共有される個人情報の量と、アプリによるスマートフォン機能のアクセスです。.

これは、ほとんどのアプリがデバイスのアクセス許可とユーザーの同意を必要とすることを指摘する瞬間です, ほとんどの場合、これらのリクエストの背後には理由があります. 例えば, タクシーアプリは、ドライバーに行き先を伝えるために、ユーザーの場所にアクセスできる必要があります, 研究者は指摘した. そのため、研究者の好奇心は他の場所にあります。アプリ開発者がユーザーのプライバシーを保護するために全力を尽くしているかどうかという質問に答えることです。.

トップから要求されたPII 100 無料のAndroid/iOSアプリ

これらのAndroidアプリから要求される個人情報の種類? アプリと共有されるPIIの最も一般的な部分はメールアドレスであることが判明しました. 48 iOSアプリの割合と 44 分析されたアプリのAndroidアプリの割合がメールアドレスをリクエストしています, 研究が見つかりました.

PIIの次の最も一般的な部分はユーザー名でした (これは通常、ソーシャルネットワーキングサイトまたはアプリで入力した人のフルネームです。), と共有された 33 iOSアプリの割合と 30 Androidアプリの割合. 電話番号, その間, と共有されました 12 iOSアプリの割合と 9 Androidアプリの割合. ついに, ユーザーのアドレスはと共有されました 4 iOSアプリの割合と 5 Androidアプリの割合.

これらの統計は、ユーザーがアプリと共有する個人を特定できる情報の全量を完全には考慮していないことに注意してください。.

一部のアプリはソーシャルメディアと統合されており、ユーザーはソーシャルメディアアカウントを使用してアプリにログインできます。, したがって、アプリがソーシャルネットワーキングサイトに直接投稿できるようになります. これはユーザーには役立つように思われるかもしれませんが, この「共生関係」により、アプリはソーシャルメディアアカウントからユーザーデータを収集することもできます, また、ソーシャルメディアサービスがアプリからデータを収集できるようにします.

研究者は、ソーシャルメディア統合を使用してiOSアプリによって収集されたPIIのタイプを明らかにすることができましたが、Androidでは同じことを行うことができませんでした. その理由は、問題のアプリはすべて、Facebookで広く使用されているグラフアプリケーションプログラミングインターフェイスを採用しているためです。 (API) AndroidバージョンのGraphは証明書ピンニングを使用します, これにより、チームはどのPIIが共有されているかを確認できませんでした.

Facebookグラフの詳細

Facebook Graphは、CambridgeAnalyticaが以下に関連する個人情報を編集するために使用しました。 87 100万人のFacebookユーザー. あなたが知っているように, この情報は、後にソーシャルメディアのターゲットキャンペーンで使用されました。 2016 私たち. 大統領選挙キャンペーン.

7月に, Facebookは、いくつかのAPIが非推奨になったため、開発者に関係するいくつかのFacebookAPIの変更を発表しました。, グラフAPIエクスプローラーアプリなど, プロファイル式キット, トレンドAPI, 信号ツール, 注目のトピックス, ハッシュタグ投票, トピック検索, トピックインサイト, トピックフィード, と公人.

加えて, Facebook Graphは、最も人気のある統合サービスの1つです。, しかし、それは最も広く使用されていません. 研究者の分析は次のことを示しています 47 Androidアプリの割合と 29 iOSアプリのパーセントがGoogle統合サービスを提供しました, その間 41 Androidアプリの割合と 26 iOSアプリのパーセントがFacebookGraphAPIサービスを提供しました.

スマートフォンの機能にもアクセス

PIIはさておき, Instagramの場合、カメラなどのデバイスの特定の機能にアクセスするための許可が必要なアプリがあります. これらの権限の一部は、他の権限よりもリスクが高いと見なされます. それはそう, これらは、ユーザーの個人情報を含む、またはユーザーの保存データや他のアプリの操作に影響を与える可能性のあるデータやリソースへのアクセスを許可する権限です。. そのような危険な許可は、ユーザーの場所へのアクセスです, 連絡先, SMSメッセージ, 電話ログ, カメラ, またはカレンダー.

これらの危険な許可の中で, カメラアクセスが最も要求されたものでした – 46 Androidアプリの割合と 25 iOSアプリのパーセントがこのアクセスを必要とします. カメラアクセスの後に位置追跡が続きます (によって必要とされる 45 Androidアプリの割合と 25 iOSアプリの割合). リストのさらに下には、音声を録音する許可があります, その後、SMSメッセージの読み取りと通話ログへのアクセスが許可されます:

Androidアプリの25％が、音声を録音する許可を要求しました, その間 9 iOSアプリの割合は. ついに, 15 Androidアプリのパーセントは、SMSメッセージを読み取る許可を求めました。 10 パーセントは通話記録へのアクセスを求めました. これらの権限はどちらもiOSでは利用できません.

研究者はそれらの許可を危険だと名付けましたが, 彼らはまだ開発者がそれらを要求する正当な理由があるという事実を強調しています. そのため、これらのアクセス許可は、「ユーザーが付与についてより注意を払う必要があるアクセス許可と見なす必要があります。, アプリが本当にこの権限を必要としているかどうか、そしてこの特定のアプリにそれを許可することに抵抗がないかどうかを自問してみてください。」.

分析されたアプリのセキュリティ

不運にも, 分析されたアプリの中には、セキュリティとプライバシーが非常に不十分なものが実装されていました. すなわち, Androidアプリの4％と 3 危険な権限を要求していたiOSアプリの割合には、プライバシーポリシーがありませんでした. 収集されているデータの種類を明確に示すプライバシーポリシーを提供することは、ayアプリにとって非常に重要です。, それが保存されている場所, 他に誰がそれにアクセスできますか, 等.

いわゆる証明書ピンニングについて, ログイン時に証明書ピンニングを実装しているアプリはほんの一握りです。: 8 Androidアプリの割合と 11 iOSアプリの割合.

証明書のピン留めは、攻撃者が安全と思われる通信を傍受するのを防ぐのに役立つセキュリティ対策です。. これは、アプリが正しいセキュリティ証明書を使用してサーバーとのみ通信するようにすることで行われます。, 研究者は説明した.