セキュリティの専門家は、2つの巨大なスマートフォンのプライバシーの問題を見つけます
この週は、スマートフォンユーザーのプライバシーとセキュリティにとって非常に衝撃的なものでした。具体的には、スマートフォン広告とiOS通知システムに関わる懸念すべきプライバシー問題を明らかにした2つの調査がありました。
まず、404 Mediaによる徹底的な調査で、Patternzという会社がスマートフォンの広告配信システムを悪用し、アプリを通じて情報を抽出し、競売者に送信していることが明らかになりました。報告書では、Patternzを「広告業界を通じて数十億の携帯電話プロファイルを追跡できる秘密のスパイツール」として描写しています。Patternzは、9Gagや一連の人気のある着信識別アプリなどの人気アプリにパイプラインを使用して、不正な活動を実行しています。Patternzは顧客に対し、広告を実行できるほぼすべてのアプリの監視が可能であると述べています。
同社のCEOは、50万を超えるアプリに対応するツールが展開されると、携帯電話は「事実上の追跡ブレスレットになる」と述べています。ある重要な研究論文によると、同社は50億以上のユーザーのプロファイルを作成し、その情報をリアルタイム入札(RTB)市場で顧客に販売しています。iPhoneでもAndroid携帯でも、影響を受ける可能性があります。Patternzの背後にある監視会社ISAは、GoogleやX(旧Twitter)などのRTBプレイヤーからこれらのデータを収集しています。販売されるデータセットには、人々の非常に具体的な位置(数メートル以内の正確さ)や、彼らの動きの履歴、さらには彼らが会う人々まで含まれることがあります。
広大な監視ネットワーク
このようなツールの存在は、Appleが力強く推進するApp Tracking Transparency機能の効果についての疑問も引き起こしています。この機能は、この種の広告が有効な追跡を減らすことを目的としています。サイバーセキュリティの専門家は、このツールが政府の監視を可能にし、ISAなどの会社がすでに国家安全保障機関にサービスを宣伝していると指摘しています。これは偶然ではありません。国家安全局の責任者は、国家安全局がデータブローカーからアメリカ人のウェブ閲覧データを購入し、令状が必要な要求を迂回していることを認めました。この衝撃的な確認は、オレゴン州の上院議員Ron Wydenが国家安全局の新しい局長Timothy Haughの指名を一時停止し、同機関がアメリカ人の位置情報やインターネットデータを収集する方法について質問した後に明らかになりました。Wydenは3年間、国家安全局がアメリカ人のインターネット記録を購入していることを明らかにしようと試みており、12月11日に現国家安全局長官Paul Nakasoneがこれらの購入を確認する手紙を受け取りました。ロイターがその手紙の詳細を初めて報じました。
通知もまた不当かもしれない
しかし、広告は問題の半分に過ぎません。Myskによる別の調査では、悪意のある行為者がiPhone上のプッシュ通知を利用して、診断およびカスタマイズされたデータ配信の重要なデータを収集していることが明らかになりました。アプリがプッシュ通知を受信するたびに、iOSは一時的にアプリを起動し、通知をパーソナライズするための短い時間を与え、その後ユーザーに表示します。驚くべきことに、侵入的なデータ収集で知られるいくつかのソーシャルアプリが、プッシュ通知によって提供されるバックグラウンド実行時間を利用しています。開発者はこの脆弱性を巧みに利用し、プッシュ通知を送信することで、バックグラウンドでいつでもコードを実行することができます。多くのアプリがこの機能を使用しており、バックグラウンドで秘密裏に包括的なデバイスデータを送信し、事実上デバイスの指紋認識システムを実行しています。セキュリティ会社は、「多くのアプリが通知をトリガーした後にデバイス情報を送信する頻度に驚愕する」と述べています。この調査では、Facebook、TikTok、LinkedInなどの大手プラットフォームからの怪しい行動さえ発見しました。
専門家たちは何と言っているのか?
この問題を解決する唯一の方法は?通知を無効にすることです。「最近、敵対者は、被害者が自分のデバイスにスパイウェアをインストールするよう誘う通知ポップアップや広告を使用しているようです」と、グローバルサイバーセキュリティ企業Trend MicroのCEO、Jon ClayがDigital Trendsに語りました。では、一般の人々は、位置やローカルデータなどの身元を特定する詳細を伝える可能性のあるこの種の違法な監視を避けるためにどのような対策を講じることができるのでしょうか?「多くの人々は、モバイルデバイス自体が安全であると誤って信じられています」とClayは言い、広告ブロッカーや専用のセキュリティアプリのインストールがある程度の安全保障を提供するかもしれないと指摘しています。iPhoneで起こっていることは、iPhoneだけにとどまらないのです。
「この種の攻撃は非常に陰険であり、非常に警告的です」と、Appdomeのセキュリティ製品副社長Alan Bavosaは言います。彼は、このような攻撃に対して、ユーザーは通常、無防備であると指摘しています。なぜなら、彼らのデバイス上で何が起こっているのか全く知らないからです。「ユーザーは、状況を悪化させないためのいくつかの小さな措置を講じることができます。たとえば、標準アプリストアからアプリをダウンロードし、デバイスを変更しない(ジェイルブレイクやルート化)ことです」とBavosaは述べています。「しかし、これらの措置は積み重ねられているだけで、治療ではありません。」
残念ながら、最終的な責任は最終的にユーザーに落ちるようです。これも予防策の一つです。サイバーセキュリティ専門家の一般的なアドバイスは、設定アプリを手動で確認し、特定のアプリの通知や可能なデバイスセンサーを無効にすることです。「いくつかのアドウェアやスパイウェアは、公式市場の悪意のある行為者によってリリースされ、合法的なアプリケーションに偽装される可能性があります」と、Resecurityの最高執行責任者Shawn Lovelandは言います。「ランダムなアプリや本当に必要ではないアプリのインストールはお勧めしません。」
悪意のある行為者が解決策を見つけているにもかかわらず、アプリがiPhoneユーザーの活動を追跡しないよう要求することは、依然として賢明なステップです。「定期的にアプリの許可を確認することは良い考えであり、特に位置情報やマイクへのアクセス権限に関連する許可については、不必要なものは無効にすべきです」と、セキュリティ会社MSP Blueshiftの共同創設者John Chapmanは提案しています。今年後半、Appleが開発者に対し、iPhone上のプッシュ通知と関連する診断システムへのアクセスの理由を明確に説明するよう要求する準備を進めるにつれて、いくらかの解放が訪れるでしょう。これがすべての問題を一度に解決するわけではありませんが、少なくとも良いスタートです。