ビデオ: ä¸è¦å²ç¬æåçæ§ (九月 2024)
多くのモバイルアプリには、多数の広告、ソーシャルメディアに接続する機能、またはその両方が付属しています。 これらは、アプリの開発者の利益を目的としてアプリに配置された無害なアドオンのように見える場合があります。 ただし、これらの機能には、ユーザーのPIIまたは個人を特定できる情報にアクセスする機能がある場合があります。 アドオンが機密情報にアクセスする機能は、ユーザーがアプリの許可を承認した後にその機能が機密情報を収集できるだけでなく、情報がユーザーの知らないうちに公開される可能性があるため、危険です。
カリフォルニア州サンマテオに本拠を置くテクノロジーセキュリティスタートアップのMojave Networksによる調査では、Threat Labsを使用して、顧客がインストールした2000以上のアプリでデータを送受信する1, 100万のURLをテストしました。 これらのURLは、広告ネットワーク、ソーシャルメディアAPI、または分析APIの3つのライブラリのいずれかに接続されていることに基づいて、カテゴリに分類されました。 結果は、ダウンロードされたアプリの78%が3つのグループの1つに接続しているため、ユーザーが個人情報への未知のアクセス、さらに悪いことに個人またはビジネスのデータ損失のリスクにさらされることを示しました。
説明責任の欠如
さらに衝撃的なのは、これらのライブラリの実装方法です。 これらは開発者が利用し、開発者はサードパーティからコードを受け取ります。 これらのコードは、主に広告収入の収集、ユーザー統計の追跡、ソーシャルメディアとの統合に使用されます。 レポートでは、これらのライブラリが何千も利用可能であり、ほとんどの場合、これらのサードパーティのコードは通常PIIを収集しないと述べています。 ただし、すべてが信頼できるわけではありません。 ほとんどの場合、開発者は通常、コードの内容をほとんどまたはまったくレビューせずに実装するため、開発者の判断を盲目的に信頼し、これらのライブラリがあなたの知らないうちにデータにアクセスできるようにする可能性があります。
さらに悪いことに、ポリシーの詳細を見ることなくアプリをダウンロードしてインストールするだけで、ユーザーはライブラリの特定のポリシーに縛られます。 ビジネスの観点からすると、これは説明責任の欠如につながり、IT管理者がどのアプリがセキュリティリスクをもたらすかを判断することを困難にします。
平均して、各アプリには約9つの権限があります。 それらのうち5つは、他の方法で非公開にされる情報へのアクセスを提供できるため、非常に危険であると見なされます。 たとえば、調査の上位広告ライブラリの1つであるAirpushは、次のデータを収集します。
- Android ID
- デバイスのメーカーとモデル
- モバイルブラウザのタイプとバージョン
- IPアドレス
- Airpushが生成したID
- 携帯電話にインストールされているモバイルアプリのリスト。
- 「デバイスに関するその他の技術データ。」
許可を与えると、Airpushは次のものも収集できます。
- 国および郵便番号を含む正確な地理的位置。
- 国際モバイル機器識別(IMEI)番号、デバイスシリアル番号、およびメディアアクセス制御(MAC)アドレスを含むデバイスID。
- ブラウザの履歴など。
ユーザーは、インストールされているモバイルアプリのリストやブラウザーの履歴など、一部のデータ収集をオプトアウトできます。
Airpushを使用するアプリをインストールすると、知らないうちにこのすべての情報にアクセスできます。 最悪の部分は、個人情報へのこの広範なアクセスが一般的であり、モバイルアプリ市場では新しいものではないことです。
ユーザー防止
特にアプリの可能性を最大限に引き出したい場合は、各アプリの権限を許可または拒否するという点でユーザーができることはあまりありません。 幸いなことに、これらの潜在的な侵害の検出に対処する2つの優れたアプリがあります。
Lookoutが、ユーザーの同意なしに広告ネットワークが単独で動作していると判断した場合、ネットワークをアドウェアとして分類します。 さらに、アドウェアに関する情報、機能、ユーザーへの潜在的な被害などの情報も提供します。 viaProtectはもう1つの優れたツールであり、ネットワークと国の観点からユーザーデータがどこに向かっているか、暗号化されている量を視覚的に示すグラフを提供します。 これにより、ユーザーは、情報が多すぎる特定のアプリを削除するかどうかについて十分な情報に基づいた決定を下すことができます。
セキュリティはデジタル時代において最重要です。 LookoutやviaProtectなどのアプリを使用すると、データにリスクがあるかどうかをユーザーに知らせることができますが、ライブラリがユーザーのPIIにアクセスできないようにすることは依然として困難です。 今のところ、モバイルデバイスでの望ましくないアクセスに対処するには、細字を読んで情報に基づいた決定を行うことが最善の方法です。
