7の10スマートフォンアプリでサードパーティのサービスとデータを共有

7の10スマートフォンアプリでサードパーティのサービスとデータを共有
スマートフォンからの写真は、ユーザーが気づかなくてもジオタグが付いています。 スマートフォンユーザーは、プライバシー設定を調整して、ジオタグのある場所を表示できるユーザーを制限できます。 (写真提供:米軍グラフィック)

私たちの携帯電話は 自分自身について多くを明らかにする私たちはどこに住んでいますか? 私たちの家族、友人、知人は誰ですか? どのように(そして何を)私たちはそれらと通信する。 私たちの個人的な習慣。 すべての情報が保存されているため、携帯端末のユーザーがプライバシーを保護するための手順を実行することは驚くべきことではありません PINまたはパスコードを使用して 自分の携帯電話のロックを解除します。

私たちと私たちの同僚が行っている研究では、ほとんどの人が見逃す重大な脅威を特定し、調査しています。 70%以上 of スマートフォンのアプリは個人情報を第三者の追跡会社に報告しています Google Analytics、Facebook Graph APIまたはCrashlyticsのようなものです。

新しいAndroidまたはiOSアプリをインストールすると、個人情報にアクセスする前にユーザーの許可が求められます。 一般的に言えば、これはポジティブです。 これらのアプリが収集している情報の中には、それらが正しく機能するために必要な情報があります。地図アプリケーションは、GPSデータを使用して場所を取得できないほど有用ではありません。

しかし、アプリがその情報を収集する許可を得たら、アプリの開発者が望んでいる誰とでもデータを共有することができます。サードパーティの企業があなたの現在の位置、移動の速さ、現在の行動を追跡できます。

コードライブラリの助けと危険

アプリは、電話機で使用するデータを収集するだけではありません。 たとえば、アプリをマッピングすると、アプリのデベロッパーが実行するサーバーに現在地が送信され、目的地から目的地までのルートが計算されます。

アプリは他の場所でデータを送信することもできます。 ウェブサイトと同様に、多くのモバイルアプリは、第三者のライブラリと呼ばれるもので、他の開発者や企業がプリコードしたさまざまな機能を組み合わせて書かれています。 これらのライブラリは、開発者 ユーザーエンゲージメントを追跡する, ソーシャルメディアに接続する   広告を表示して収益を得る 他の機能を、ゼロから書き込む必要はありません。

しかし、貴重な助けに加えて、ほとんどの図書館は機密データを収集し、オンラインサーバーまたは別の会社に送信します。 成功した図書館の作者は、ユーザーの詳細なデジタルプロフィールを作成することができます。 たとえば、ユーザーが1つのアプリに自分の現在地を知らせる権限を与え、別のアプリが連絡先にアクセスできるようにすることができます。 これらは当初は個別の権限で、各アプリに1つずつあります。 しかし、両方のアプリが同じサードパーティ製のライブラリを使用し、異なる情報を共有している場合、ライブラリの開発者はその部分をリンクすることができます。

ユーザーはアプリケーションがどのソフトウェアライブラリを使用しているかを伝える必要はないので、ユーザーは決して知りません。 また、ユーザーのプライバシーに関するポリシーを公開するアプリはごくわずかです。 もしそうであれば、それは通常、長い法的文書で普通の人 読んでいない、はるかに理解していない.

ルーメンの開発

私たちの研究では、ユーザーの知識なしにどれくらいのデータが収集される可能性があるかを明らかにし、ユーザーにデータをより詳細に制御させることを目指しています。 何を撮るか データが収集され、人々のスマートフォンから送信されている、私たちは独自の無料のAndroidアプリを開発しました。 ルーメンプライバシーモニタ。 それは、どのアプリケーションやオンラインサービスが積極的に個人データを収穫するかを報告するために、送信されるトラフィックアプリを分析する。

ルーメンは透明性があるため、電話機のユーザーは、インストールされたアプリがリアルタイムで収集した情報を見ることができ、誰とでもこれらのデータを共有できます。 アプリケーションの隠された動作の詳細を分かりやすく表示しようとしています。 研究に関するものでもありますので、私たちはユーザーに、彼らのアプリケーションが行っていることをルーメンが観察していることに関するデータを収集できるかどうかを尋ねますが、それは個人的またはプライバシー上のデータは含まれていません。 このユニークなデータにアクセスすることで、モバイルアプリがユーザーの個人情報をどのように収集し、誰とデータを共有するかについて、これまでにない規模で検討することができます。

特に、Lumenは、ユーザーのデバイス上で実行されているアプリ、携帯電話からプライバシーに敏感なデータを送信しているかどうか、データを送信するインターネットサイト、使用するネットワークプロトコル、各アプリの種類各サイトに送信します。 ルーメンはデバイスのローカルでアプリのトラフィックを分析し、これらのデータを匿名で勉強のためにGoogleに送信します。GoogleマップでユーザーのGPSロケーションが登録され、その特定のアドレスがmaps.google.comに送信されると、ルーメンは、 GPSの位置情報を取得し、maps.google.comに送信しました。 " - その人物の実際の位置ではありません。

トラッカーはどこにでもあります

10月の1,600以来Lumenを使ってきた2015以上の人は、5,000以上のアプリを分析することができました。 Facebookなどのソーシャルメディアサービス、GoogleやYahooなどの大型インターネット企業、Verizon Wirelessなどのインターネットサービスプロバイダのオンラインマーケティング会社など、広告目的でユーザーを追跡する598インターネットサイトを発見しました。

我々はそれを発見した 調査したアプリの70%以上 少なくとも1つのトラッカーに接続され、そのうちの15%は5つ以上のトラッカーに接続されています。 4つのトラッカーのそれぞれに1つずつ、少なくとも1つの一意のデバイス識別子(電話番号またはその デバイス固有の固有の15桁のIMEI番号。 一意の識別子は、異なるアプリケーションによって提供される異なるタイプの個人データを1人の個人またはデバイスに接続できるため、オンライン追跡サービスにとって重要です。 ほとんどのユーザーは、プライバシーに敏感なユーザーでも、その隠された方法を認識しません。

モバイル問題以上のもの

モバイルデバイスでユーザーを追跡することは、大きな問題の一部にすぎません。 Googleが特定したアプリトラッカーの半数以上は、ウェブサイトを通じてユーザーを追跡しています。 「クロスデバイス」トラッキングと呼ばれるこのテクニックのおかげで、これらのサービスはオンラインペルソナのより完全なプロファイルを構築することができます。

個々の追跡サイトは、必ずしも他のサイトと独立しているとは限りません。 それらのうちのいくつかは、同じ企業エンティティによって所有されており、将来の合併で他のものが飲み込まれる可能性があります。 たとえば、Googleの親会社であるAlphabetは、Googleアナリティクスなど、調査したいくつかのトラッキングドメインを所有しています。 DoubleClickの またはAdMobを介して、調査したアプリの48%以上からデータを収集します。

ユーザーのオンラインIDは自国の法律によって保護されていません。 私たちは国境を越えて出荷されているデータを見つけました。多くの場合、疑わしいプライバシー法が適用される国で終わります。 米国、英国、フランス、シンガポール、中国、韓国のサーバーには、60%以上のトラッキングサイトへの接続が行われています。 大量監視技術。 これらの場所の政府機関は、ユーザーが プライバシー法が強化された国 ドイツ、スイス、スペインなどです。

Wigleを使用してデバイスのMACアドレスを物理アドレス(ICSIに属する)に接続する。
Wigleを使用してデバイスのMACアドレスを物理アドレス(ICSIに属する)に接続する。 ICSI, BY-ND CC

さらに迷惑をかけて、子供向けのアプリでトラッカーを確認しました。 私たちのラボで111の子供たちのアプリをテストすることによって、彼らの11がユニークな識別子を漏らしたことがわかりました。 MACアドレスそれが接続されていたWi-Fiルーターの名前です。 これは問題です。 オンラインで検索する 特定のMACアドレスに関連付けられた物理的な場所。 子供の位置、口座、その他の固有の識別子を含む子供に関する個人情報を収集することは、連邦取引委員会の 子供のプライバシーを守るルール.

ほんの少しの見た目

Googleのデータには、最も人気のあるAndroidアプリの多くが含まれていますが、ユーザーやアプリのサンプルが少ないため、すべての可能性のあるトラッカーが少ない可能性があります。 私たちの発見は、規制の管轄区域、デバイス、プラットフォームにまたがるより大きな問題である可能性が高いものの表面を傷つけるだけのものかもしれません。

これについてユーザーが何をするのかを知ることは難しいです。 機密情報が携帯電話を離れるのをブロックすると、アプリのパフォーマンスやユーザーエクスペリエンスが低下する可能性があります。アプリが広告を読み込めない場合は、機能しなくなる可能性があります。 実際には、広告をブロックすると、アプリ開発者が収益を得ることを拒否し、通常はユーザーには無料であるアプリでの作業をサポートすることになります。

人々がアプリの開発者にもっと喜んで支払いをしてくれれば、それは完全な解決策ではありませんが、役に立つかもしれません。 有料アプリは追跡サイトの数が少なくなる傾向がありますが、引き続きユーザーを追跡し、第三者追跡サービスに接続することがわかりました。

会話透明性、教育、そして強力な規制の枠組みが重要です。 ユーザーは、収集されている情報、誰によって収集された情報、そしてどのような情報が使用されているのかを知る必要があります。 そうすれば、私たちは社会としてどのようなプライバシー保護が適切であるかを決定し、それらを適所に置くことができます。 私たちの調査結果や他の多くの研究者の調査結果は、テーブルを回してトラッカーを追跡するのに役立ちます。

著者について

Narseo Vallina-Rodriguez、マドリード、スペイン、IMDEA Networks Instituteの研究准教授; 研究科学者、ネットワークとセキュリティ、国際コンピュータ科学研究所、 カリフォルニア大学バークレー校 Srikanth Sundaresan、コンピュータサイエンス研究員、 プリンストン大学

この記事は、最初に公開された 会話。 読む 原著.

関連書籍:

{amazonWS:searchindex =本;キーワード=インターネットのプライバシー; maxresults = 3}

enafarZH-CNzh-TWtlfrdehiiditjamsptrues

InnerSelfをフォロー

グーグルプラスアイコンFacebookのアイコンさえずり、アイコンrss-icon

電子メールで最新情報を取得する

{emailcloak =オフ}

InnerSelfをフォロー

グーグルプラスアイコンFacebookのアイコンさえずり、アイコンrss-icon

電子メールで最新情報を取得する

{emailcloak =オフ}