reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

 2回に渡って、iPhoneの連絡先(アドレス帳)にアクセスするアプリについてエントリを書きました。

「連絡先のデータを盗むアプリはPathだけではない」というお話 : I believe in technology






Foursquareの通信を覗いたら無断で電話番号とメアドが送られていたでござる : I believe in technology






 これまでに、連絡先を盗むとされたアプリは主にSNS関連のアプリばかりでした。でも、果たしてそれだけでしょうか?他のカテゴリのアプリは大丈夫?
 
 心配な方は、先日、セキュリティベンダーVeracodeが公開したMacアプリAdiOSを使ってみるといいかもしれません。 

AdiOS: Say Goodbye to Nosy iPhone Apps

 






 AdiOSは、連絡先にアクセスする関数であるABAddressBookCopyArrayOfAllPeopleを使用するiOSアプリを見つけてくれるMacアプリです。
 
 
 実行した結果がこちら。

AdiOS-01.jpg


 私の場合、なんと313種類も見つかりました。参考までにそのリストをこちらで公開します。


 なお、AdiOSの調査対象となったのは私のMac内にある3,160本のアプリが対象です。私は現時点で6,050種類のアプリを所有していますが、iTunesで管理しているアプリは3,000本程度に抑えています。これは、3,000本を越えたあたりから同期時の挙動がおかしくなるためで、意図的に削除しています。その際、FreeやLiteと名のつくアプリを優先的に削除しているので、対象アプリとしては若干偏りがあります。 
 
 
 さて、検出された結果を見てみると、(中には何のアプリだか思い出せないものもあるのですが)「AngryBird」、「ホームランバトル」などゲーム系のアプリが多いことがわかります。これらは、GameCenterなどで友人を見つけるのに使っているのだと思われます。

 SNS系はほとんどが検出されています。また、アドレス帳関連のアプリはもちろん検出されています。

 一見、関係なさそうなブラウザやカメラアプリなどもあるのですが、よく調べてみると、友人にシェアする機能があり、その際に使用しているようです。
 
 また、「7Notes」、「ATOK Pad」といった国産有名エディタがありますが、これらは(想像ですが)連絡先を辞書として使う際に使っているのではないかと思います。


 ただし。
 
 どれとはいいませんが、機能的に連絡先にアクセスする必要があるとは思えないアプリもありますね。しかも、そのうちいくつかはもうAppStoreにないため、アプリの詳細がわかりません。やや、危険な香りがします。

 
 もっとも、AdiOSが見つけるのはあくまでも連絡先にアクセスする機能を持つアプリだけです。その後、その連絡先をどこかに送信するとか、悪用するとかいうことまではわかりません。おそらく、大半のアプリはそうした「悪いこと」はしていないと思います。そのため、これらをすべて危険とみなし、本当にアディオス(さようなら)することはお勧めしません。
 

 連絡先を使うことでアプリの利便性が増すことは理解しています。


 それは理解した上で、連絡先を使用するアプリおよび提供者は、以下の点を考慮する必要があるのではないかと思います。
 
 ・利用者に使用目的を明示し、許可を得てから使用する
 ・使用目的以外の目的には使用しない
 ・外部に送信する際はその旨明示し、許可を得る
 ・送信する場合は十分に強固な暗号化を施し、その方法を明示する
 ・送信したデータは使用後に破棄する(保持しない)
 
 こういうことを言うと、やれ余計なことを言いやがってだとか、やれ利用者の利便性が失われるだとかと煙たがられがちです。

 
 でも、私は何もアプリ開発に制限を加えたいわけではありません。
 
 前回のエントリでも触れましたが、現状ではアプリがこっそり連絡先のデータを送信することが可能です。送信されてしまうと、後はアプリ開発者が悪用しないことだけでなく、十分なセキュリティ対策を施してくれること(暗号化せずに送信してしまうなど論外)を祈るしかありません。
 
 繰り返し言いますが、私はアプリ開発に制限を加えたいわけではありません。

 アプリ利用者が、連絡先といったプライバシー度の高い情報をアプリに渡すべきかどうか判断する機会を提供することが必要だと考えます。
  
 利用者に連絡先を使用する目的や送信方法を明示することで、利用者はそのことで得られる利便性と連絡先を渡すというリスクを秤にかけることができます。その機会を確実に設けるべきだと考えるのです。そのためにも、この手続きを省くことが可能な現在の仕様は望ましくないと考えます。


 iOSアプリを提供するAppStoreは、Appleの審査があるので安全だとされています。
 
 しかし、今回「iOSアプリの規約でアプリはユーザーの事前の許諾なしにユーザーに関するデータを送信することを禁じている」にも関わらず、Foursquareのようなメジャーアプリが規約を満たしていないにも関わらず、長い間流通していました。
 
 審査があるからといって、決して安心できるわけではないのです。

 AppStoreと比べ、事前審査が事実上ないAndroidMarketでは、最近ウイルスが含まれているアプリが流通し問題視されています。「AppStoreは安全でAndroidMarketは危険」などと声高に叫ぶ人もいますが、要は比較論であって、AppStoreが完全に安全なわけではありません。事実、AppStoreでは流通後に問題になったアプリが今も時々削除されています。
 
 AndroidMarketにも見習うべき点があります。アプリダウンロード時に、そのアプリがどのようなアクセスをするのかを明示してくれる点です。

AdiOS-02.jpg

 
 この方法はわかりやすいですね。AppStoreのアプリ説明ではこの辺りの情報が不足しています。
 
 仕様上、ユーザーの事前の許諾なしにユーザーに関するデータを送信することができないようにするとともに、AndroidMarketのように、アプリダウンロード時にアプリケーションがどのようなアクセスをするのかを明示してくれれば、より利用者がアプリを安心して使えるようになります。
  
 よいところは取り入れてほしいと、一利用者として思います。
 
 だって、私はアプリが大好きなんですから。



Posted by
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。