1月下旬、リークされた文書により、NSAおよびその他の全国スパイ組織がスマートフォンから情報を取得するのに苦労していることが明らかになりました。 しかし、バグをインストールする代わりに、彼らは知りたいことすべてを学ぶためにあなたの携帯電話に既にあるアプリをタップしました。
怒っている鳥は私に言った
報告によると、スパイ組織は情報を収集するためにいわゆる「漏れやすいアプリ」を探しています。 Lookoutの主任セキュリティ研究者であるMarc Rogersが「暗号化せずにあらゆる種類の機密情報を渡すアプリ」と定義するモバイル脅威マンデーストーリーでよく使用する用語です。
この定義には、AndroidアプリストアとiOSアプリストアの両方で利用可能なアプリの多くが含まれていることに驚くかもしれません。 これは、これらのアプリの多くがサードパーティの広告プラットフォームを使用してアプリの収益化を支援しているためです。 Flappy Birdのように、アプリで広告を表示できる場合があります。 開発者はカットされ、無料でゲームを入手できます。
ただし、広告が表示されない場合でも、アプリ開発者は多くの場合、広告主からあなたとあなたのデバイスに関する情報を静かに収集するコードを含めます。 この情報は、広告主がより適切にターゲットを絞るために編集され、分析されます。 「誰かに関する情報が多くなればなるほど、マーケティングプロファイルはより正確になります」とBitdefenderの上級E脅威スペシャリストであるBogdan Botezatuは説明します。
「広告主にとっては」と、LookoutのRogers氏は説明します。 これは、あなたの興味に近い製品やサービス、またはお住まいの地域で利用できるものです。 たとえば、大阪に住んでいるなら、シカゴの安い車について知りたいとは思わないでしょう。
広告主とマーケティング担当者は、通常、識別可能な情報、つまりデバイスをユーザーに接続する何らかの方法を使用します。 デバイスのEMEI番号、Apple ID、またはその他の識別子で対応しますが、電子メールと電話番号は特に重要です。 この情報を使用して、広告主は同じ人が異なるアプリをダウンロードしたことを判断し、異なるデバイスでの使用方法を収集できます。 他の広告主はより積極的で、位置情報などを取得しようとします。
Botezatuは、広告主のSDK情報がどれだけ広範囲に及ぶ可能性があるかを示すために、BitdefenderによってプロファイルされたAndroidリモートアクセストロイの木馬とそれらを比較しました。 被害者の電話にインストールされると、攻撃者が連絡先を盗んだり、ブラウザの履歴にアクセスしたり、被害者を追跡したりできるようになります。 「ほとんどの人は、マイクをオンにできることを示すと、AndroRATに否定的に反応します」と彼は言いました。 「その短い、それはほとんどの広告SDKで起こることです。」
NSAがインターセプトされたアプリ情報を何に使用しているのかは完全には明らかではありませんが、広告主に似ている可能性があります:異なる情報から個人の詳細なプロファイルを作成します。 もちろん、他の方法でも使用できます。 ボテザトゥは、抗議者が抑圧的な政府に対して街頭で暴動を起こしたシナリオを想像しています。 この架空の政府が広告主によって収集された位置情報に自由にアクセスできた場合、彼らは暴動に巻き込まれた人を特定し、報復のために彼らまたはその家族を標的にすることができました。
漏れやすいパイプ
ロジャーズが言ったように、アプリは暗号化せずに情報を送信しようとする場合にのみ漏洩します。 残念ながら、それらの多くは、携帯電話のアプリから広告主のサーバーに流れる情報を暗号化しないことを選択しています。 「ルーターまたはネットワークでリッスンしているユーザーは誰でも、アプリデータをスヌープしてコピーを作成できます」とBotezatu氏は述べています。
ルーターやWi-Fiネットワークを覗き見するスパイ機関の事例を見てきましたが、ロジャースはそれがより大きな問題だと言います。 「政府組織は、他の誰にもできない方法でインフラストラクチャを活用する立場にあります。悪者は大量のデータを入手できますが、政府はインターネット全体にまたがることができます。」
大量のデータを広告主に送信することは、NSAによってデータを傍受するよりも常に良いとは限りません。 Botezatuは、データがデバイスを離れると、それを制御することはできないと指摘しました。 「これらの広告主は、あなたのデータを保護する法律がない場所にいる可能性があり、これらのサーバー上の情報が安全であるか、ハッカーに到達できないことを誰も保証できません。」
誰のせい
多くの場合、アプリの開発者は、広告主がどの情報を吸い上げているのかさえ知らないかもしれません。 または、その情報が暗号化されている場合。
ロジャーズは、問題の大部分は、データを機密にするものについての業界の誤解にあると言います。 一部のアプリは、デートアプリの性的嗜好や別のアプリの郵便番号の一部など、ほんの少しの情報しか取りません。 広告主はこの情報を機密情報とは見なしません。 しかし現在、NSAのような組織は、数百のアプリからのデータを一度にインターセプトし、ドットを接続できます。 「政府機関は、これらすべてを関連付けて、完全なプロファイルを構築できます」とロジャーズは言いました。
広告主がこの情報を収集するために使用するソフトウェア開発キットにも問題があります。 Botezatuは、すべてのモバイル市場には数百万のアプリがありますが、広告SDKの数は非常に少ないと説明しました。 「Google Playのすべてのアプリケーションに約100の電力を供給しています」と彼は説明しました。 「1つを侵害すると、あらゆるアプリケーションが侵害され、さらに多くの顧客に接触することになります。」
顧客(つまりあなたと私)もこの役割を果たします。なぜなら、この情報が収集されていることを電話で実際に警告されているからです。 たとえば、Google Playからアプリをダウンロードする場合、アプリにさまざまな権限へのアクセスを許可することに同意します。 これは、アプリがアクセスできる情報、および実行できるアクションです。 「Angry Birdsが現在地を使用している場合、それが何らかの形で広告に使用されていると想定できます」とRogers氏は述べています。
安全を保つ方法
私たちのような人々にとっては、私たちの情報を見る人を制限するオプションはほとんどありません。 iPhoneでは、広告主に「広告ID」へのアクセスを強制することができます。このIDはいつでも更新でき、プロファイルの作成方法を制限できます。 iOSでは、情報にきめ細かな許可を与えることもできます。 現在地へのアクセスを許可し、後で設定メニューからオフにすることができます。
残念ながら、Androidにはきめ細かな権限が遅れています。 Googleは、許可のオンとオフを切り替えるためのコントロールパネルを簡単に導入しましたが、すぐに削除されました。 これは、多くのユーザーがセキュリティと最新アプリで遊ぶことを選択する必要があることを意味します。 「必要以上のデータを収集しようとするアプリケーションを見つけたら、同様の機能を備えた別のアプリケーションを探します」とBotezatu氏は述べています。
ユーザーは、アプリのアクセス許可の監視に役立つセキュリティソフトウェアをインストールすることもできます。 Lookoutによると、セキュリティアプリはこの情報の強調表示を開始し、BitdefenderのCluefulアプリは、アプリがあまりにも多くを求めているかどうかを判断するのに役立ちます。
ロジャースは、「ユーザーは、アプリ開発者が広告主と行うことに同意するものからはるかに離れている」と認めています。 しかし、彼はユーザーにアプリ開発者にプライバシーや開示ポリシーなどのドキュメントを提供するよう要求することを推奨しました。
残念なことに、すべてのユーザー情報を機密情報として扱い、携帯電話を離れてからサーバーに座るまで暗号化するというデベロッパーと広告主に責任があります。 一方、消費者は、インストールするアプリについて賢明な決定を下し、開発者に責任を持たせる必要があります。 「私たちは毎日新しいものが見張られていると聞いていますが、少なくともこの場合には簡単な治療法があります」とロジャーズは言いました。
