ビデオ: The new iPhone SE — Apple (九月 2024)
AppleのApp StoreとGoogle Playからアプリをダウンロードするとき、かなりのセキュリティとプライバシーを放棄します。 デバイス上でデータを使用してアプリが実行していることを精査することはほとんどなく、アプリの作成時に開発者がユーザーのプライバシーを優先しないことを忘れます。
「私たちがこれらの無料アプリの顧客ではないことを人々が理解しているとは思わない。広告主はそうだ」とZscalerのセキュリティ調査担当副社長マイケル・サットンはSecurity Watchに語った。
開発者は、これらのアプリを構築する際に広告主が何を望んでいるかを考えています。それは、ユーザーに関する情報とユーザーアクティビティを追跡する能力です。 そのため、アプリのアクセス許可に関しては、開発者が必要以上に要求することを妨げるものは何もありません。 ほとんどの人は、許可リストを読んでからすべてを受け入れてからアプリをインストールします。また、一般に、アプリがあまりにも多くを要求しているように見える場合、人々は文句を言いません。 開発者が実際に必要とするかどうかに関係なく、許可を求める場合があります。
実際、「特に家のAndroid側では、彼らがやる気を起こさせない」とサットンは言った。
ZScalerの調査結果
Zscaler ThreatLabzの研究者は、550のiOSアプリと75, 000のAndroidアプリを分析して、2つのモバイルオペレーティングシステムがプライバシーとセキュリティにどのように取り組んでいるかを理解しました。 静的分析では、チームは特定のアクセスレベルを必要とする関数が呼び出されるコード内の実際のインスタンスを探しました。 このようにして、彼らは、関数が実際に要求した許可を使用していたことを確認できました。
「ゲームとエンターテイメント」カテゴリのiOSアプリの60%以上が電話機能と位置情報の許可を要求しているという事実など、調査結果は非常に詳細で魅力的です。 Zscalerは、この発見を「面倒」と呼び、アプリがユーザーのアクティビティをスパイしているという最近の報告があったことを指摘しました。 その数は、ライフスタイルアプリの方が高く、81%が機能を要求しています。 全体として、iOSアプリの34%がアドレス帳へのアクセス許可を要求し、83%がメールアクセスを要求し、46%がユーザーのカレンダーを読むことができました。
「追跡されている機能(アドレス帳、テレフォニー、場所、電子メールカレンダー、またはUUID)の少なくとも1つを使用している97%のアプリで、私たちは消費するよりも多くても消費している」ブログ。
Android側では、Zscalerは、SMSアクセス許可を要求するアプリの68%がSMSメッセージを送信する機能を要求していることを発見しました。 SMS詐欺とスパムがユーザーをだましてプレミアム番号に送信させることを考えると、これは心配するべきことです。 SMS権限を持つアプリの別の28%も、SMSメッセージを読む機能を要求しています。 これは、2要素認証または特定のトランザクションを確認するためにSMSを介してコードを送信するモバイルバンキングサイトおよびその他のサービスの数を考慮する場合のもう1つの懸念事項です。 「アプリを許可することは非常に危険な許可です」とサットンは言った。Appleはこの許可さえ許可していないと述べた。
良いことは、現時点でSMS許可を要求しているアプリは現在10%未満であるということです。 それでも。
分析されたAndroidアプリの中で、Zscalerは36%が位置情報を要求し、46%が電話の状態許可を要求し、アプリがSIMカード情報と電話の一意のIMEI識別子にアクセスできることを発見しました。
「これは、無料のアプリケーションと引き換えに放棄する意思の微妙なバランスです」とサットンは言いました。
Androidはユーザーをより多くのリスクにさらす
サットンに関する限り、最大の問題は、Androidがアプリに許可する権限をユーザーが制御できないことでした。 「私はAndroidのオールオアナモデルのファンではありません」とサットンは「危険」と呼びました。
AndroidはiOSよりも実際に開発者に非常にきめ細かなレベルの制御を提供しているため、少し残念です。 ただし、そのレベルの制御はアプリ自体には引き継がれません。ユーザーがアプリが要求している特定の許可が気に入らない場合、ユーザーはアプリをインストールできないためです。 一方、AppleはiOSアプリをインストールし、特定の機能が必要な場合、ユーザーに許可を求めます。
「Appleのほうが優れていることの1つです」とSutton氏は述べています。 彼は、iOSモデルの下での許可に対する「優れたアプローチ」は、消費者を保護するより良い仕事をするという。
サットン氏によると、Appleは開発者がデバイスを追跡するのを防ぐためにも戦っています。 開発者は当初、デバイスの一意のUDIDを照会することが許可されていました。広告主はこれを使用して、プロファイルを作成し、ユーザーが使用しているアプリの種類を把握できました。 AppleがUDIDの使用を禁止しているにもかかわらず、Zscalerは、分析のiOSアプリの38%がまだアクセスできることを発見しました。 Appleは、開発者がMACアドレスを追跡することも禁止しています。 UUIDはアプリとデバイスごとに生成される一意の値であり、広告主がアプリ間でユーザーを追跡できないようにするため、推奨されるアプローチです。
サットン氏によると、Appleは「開発者がデバイスを追跡できないようにするための戦いを本当に行ってきた」という。 「Googleはその領域で何もしていません。」
