Androidアプリがあなたのデバイスの他のソフトウェアを覗き見している–そしてそれはあなたが思っている以上に怪しげな広告会社にあなたについてもっと多くを知らせてしまうかもしれない。
今週のニュースは 研究者からの論文 イタリア、オランダ、スイス。 プライバシー侵害は、インストールされたアプリケーションメソッド(IAM)を中心に行われます。IAMは、アプリケーションプログラミングインターフェイス(API)であり、アプリケーションがユーザーに通知せずに携帯電話の他のソフトウェアとやり取りできるようにします。 インストールされている他のアプリの名前を見つけるなど、さまざまなことができます。
IAMには正当な用途があります。 VPN、バックアップソフトウェア、ファイアウォールなどのアプリは、それらを使用して、インストールされている他のソフトウェアと連携する場合があります。 アクセシビリティアプリは、それらを使用して、障害を持つ人々が他のソフトウェアをより使いやすくすることができます。
これは、すべてのインスタンスがユーザーの最善の利益になるという意味ではありません。 研究者たちは、Google Playストアで14,342の無料のAndroidアプリと7,886のオープンソースのAndroidアプリを調査しました。 彼らは、ソフトウェアによるIAM APIの使用を分析し、さらに、アプリの開発者がアプリが何をしているのかを知るためのアンケートを行いました(70人の開発者が参加しました)。
IAMを介して収集された最も一般的な情報は、 packageName、インストールされている他のアプリの名前を報告するだけです。 ただし、これだけでも、電話のユーザーについて多くのことを明らかにできます。 このペーパーは、性別、宗教、関係のステータス、関心のある国など、デバイスにインストールされたアプリから純粋にユーザーに関する特定の事柄を推測できることを示す他の調査を引用しています。 また、結婚や親になることなどの主要なライフイベントを最大87%の精度で予測できます。
したがって、商用アプリケーションがIAMをはるかに使用する傾向があったことは驚くに値しません。 オープンソースのアプリがわずか4,214であるのに対し、228の商用アプリがこれらを使用しました。 この手法を使用した最も人気のある種類の商用アプリは73%のゲームでした。
インストールされている他のソフトウェアでスヌーピングする商用アプリのほとんどは、独自のコード内から実行していません。 代わりに、これらのクエリの83.66%は、アプリが使用したサードパーティライブラリからのものでした。 これらのライブラリの36分の31以上(XNUMX%)は広告ベースとして分類されていましたが、次の最も一般的なカテゴリ(XNUMX%)はユーティリティカテゴリに分類されました。
多くの場合、アプリ開発者はこれらのライブラリが呼び出しを行っていることをまったく知らなかったため、削除できるように、呼び出し元のコードを研究者に尋ねました。 ある開発者は、使用したポイントアンドクリックのアプリビルダーを非難しました。
開発者が自分のアプリが何をしているのかを常に知っているわけではないという事実は憂慮すべきことであり、XNUMXつの選択肢が残されています。 XNUMXつ目は、Googleがその使用に関してより厳しい通知と制御を実施することです。 紙は言った:
Androidプラットフォームの他のプライバシーに敏感な部分はアプリの権限によって保護されているため、開発者はこれらの部分にアクセスする前にユーザーに明示的に通知する必要があり、IAMの扱いが異なる理由を尋ねます。
Googleは、ユーザーがインストールしたソフトウェアを嗅ぎ回るのが好きなアプリに適していると思います。 林檎 丁寧に尋ねた Facebookは、メディアジャイアントがユーザーの他のモバイルアプリソフトウェアの使用状況をスヌープするために使用した後、VPNアプリOnavoをアプリストアから削除しました。
Googleはコメントのリクエストに応答しませんでしたが、現在問題を認識しているようです。 です 導入 a <queries> アプリがクエリしているアプリを説明できるようにするアプリマニフェストファイルのタグ。 ただし、会社がこれらのクエリに適用する制限は明確ではありません。 含まれます QUERY_ALL_PACKAGES アプリが他の必要なアプリと通信することを許可する権限。会社は将来、使用ガイドラインを提供します。
この新しいタグと許可はAndroid 11に同梱されますが、研究者は完全に満足していません。 彼らは言った:
新しく導入された許可は、危険な許可とは見なされません。 したがって、IAMへのアクセスは、エンドユーザーに対してまだサイレントです。 これらの新しいルールは正しい方向への一歩ですが、データ収集アクティビティを制限するのに十分かどうかは不明です。
このIAMの使用はiOSでもリスクがあると研究者たちは言ったが、AppleはここではGoogleよりも先を行っているようだ。 iOSのより最近のバージョンでは、アプリがアプリストアモデレーターが確認する対象のアプリケーションを宣言することを強制しています。
この種の情報収集を停止するためのもうXNUMXつのオプションは、プライバシーを意識したユーザーがギャップを埋めることに依存することです。 研究者は、ユーザーが次のような調査サービスをチェックすることを推奨しました ウイルスの合計 アプリのアクティビティを調べて、広告から収益を得られないアクティビティに焦点を当てます。
ここでの要点は明らかです。展開する広告ブロッカーやその他のツールの数に関係なく、データを大量に消費する企業は、あなたをより正確にプロファイリングするために使用できるレーダーの下で、あなたに関するデータを持ち去る新しい方法を見つけ続けています。 ライブラリを介してそのようなことを他のアプリに忍び込むことでこれを行うことができれば、そうします。 これは、モバイルアプリへの信頼を損ない続けます。 より正直なアプリエコシステムの時間ではありませんか?
