今朝 9to5Mac と共有された調査によると、おそらく iPhone、iPad、または iPod touch にインストールされている人気の iOS アプリには、ユーザーの位置情報をデータ収益化企業に送信する特別な悪意のある権限が備わっていることが分かりました。
「ウィル・ストラファック」氏が率いる調査会社「Sudo Security Group's GuardianApp」は次のように報告しています。
「いくつかの人気のiOSアプリが、データ収益化企業が提供するパッケージコードを使用して、数千万台のモバイルデバイスから正確な位置履歴を密かに収集するために使用されていました。」
このデータは、ユーザーの現在位置を取得して送信することで、位置情報による収益化に使用されると言われています。
Apple の App Store ポリシーでは、Legal 5.1.1 および Legal 5.1.2 ポリシーで、これが制限として明確に規定されています。
法的事項 ”“ 5.1.1 および法的事項 5.1.2
アプリは、ユーザーの明示的な同意なしに、承認されていない目的でユーザーの位置データを第三者に送信します。
これらのアプリが削除され、Apple が戦略を修正する前に、セキュリティ企業は以下の手順に従うことを推奨しています。
モバイル デバイスの GPS センサーからの正確なデータに最初にアクセスするために、アプリは通常、位置情報サービス許可ダイアログでアプリに関連するもっともらしい正当性を提示しますが、多くの場合、位置データがアプリの動作とは無関係の目的でサードパーティのエンティティと共有されるという事実についてはほとんど、またはまったく言及されません。
このページに掲載されているすべての位置データ収益化企業は、以下のデータ ポイントの 1 つ以上を収集します。
- Bluetooth LEビーコンデータ
- GPS経度と緯度
- Wi-Fi SSID(ネットワーク名)とBSSID(ネットワークMACアドレス)
さらに、一部の企業は、次のような機密性の低いデバイス情報も収集します。
- 加速度計情報(X軸、Y軸、Z軸)
- 広告識別子(IDFA)
- バッテリーの充電率とステータス(バッテリーまたはUSB充電器)
- セルラーネットワーク MCC/MNC
- 携帯電話ネットワーク名
- GPS高度および/または速度
- 出発/到着時刻のタイムスタンプ
GasBuddy、MyRadar NOAA、PayByPhone Parking、C25K 5K Trainer が問題のアプリのようです。
Appleosophyは電話でAppleにこの件についての説明を求めたが、Appleはこの件についてコメントを拒否した。
新しい情報が入り次第、この記事は更新されます。
更新: レイアウトの問題を修正しました。
