スマホはユーザーを盗聴しているのか?→実験したら盗聴ではなく「盗撮」していると判明

180709smartphone
Image: Jim Cooke

壁に耳ありスマホに目あり。

スマホの陰謀説はなかなか消えないもので、多くの人がスマホはターゲティング広告のために会話を盗聴していると思い込んでいます。

Viceは最近、『Your phone is listening and it’s not paranoia(あなたのスマホは盗聴している、これは妄想じゃない)』という記事で人々の思い込みを刺激しました。この記事は、スマホの前で「大学に復学する」や「安いシャツが欲しい」などと話したところ、Facebook(フェイスブック)でシャツや大学の講義についての広告を目にするようになったという5日間の実験に基づいて、記者が出した結論だったのです(参考までに言うと、私もFacebookでシャツの広告をよく見かけますが、新学期向け宣伝の対象となる年齢は過ぎています)。

この迷信について話す世間にうんざりしたコンピューターサイエンスの学者たちは、厳密な研究を行なってこの問題に取り組むことにしました。

盗聴してないっぽいけど、盗撮はしていた


昨年、ノースイースタン大学のElleen Pan、Jingjing Ren、David Choffnes 、Christo Wilsonそしてカリフォルニア大学サンタバーバラ校のMartina Lindorferは、Androidの1万7000以上の人気アプリにおいて、音声を録音するために密かにスマホのマイクが使われているかどうかを探る実験を実施。アプリにはFacebookに属するものや、Facebookに情報を送信するアプリ8000個超が含まれていました。

その結果、陰謀論者の予想に反して、アプリが勝手にマイクを起動、あるいは音声を送信した証拠は見つかりませんでした。盗聴が起きている例を一つも見つけられなかったのです。

その代わり、彼らは盗聴とは別の不穏な動きを発見。アプリはスマホの画面を録画して、第三者にその情報を送っていたのです。
180709smartphone2
研究者たちが調べた1万7260個のアプリのうち、9000個以上がカメラあるいはマイクへアクセスする許可を得ていました。つまり、スマホの所有者の会話(猫のトイレが必要だとか、あるメーカーのジェラートがどれほど大好きか等)を耳にする可能性があったということです。
10台の実験用Android端末では各アプリを使うために自動化されたプログラムが用いられ、その後生成されたトラフィックが分析されることに。研究者らは送信されたあらゆるメディアファイル、特に予期しない関係者に送られたものを探していたのです。
Image: David Choffnes/Northeastern University

パートナー企業にさえも無断で盗撮していた例


研究者らは次第に、アプリ内での操作のスクリーンショットと動画の録画が第三者のドメインに送られているという奇妙な動きに気づき始めたのです。

例えば、ジャンクフードデリバリーアプリGoPuffをあるスマホで使用したところ、アプリでのやりとりは録画され、モバイル分析の企業Appseeへと送信されたのでした。動画には、個人情報を入力する画面、この場合、郵便番号も含まれていました。

これはそれほど意外なことではありません。というのも、Appseeはアプリ内でユーザーがどう操作しているのかを録画できる機能を、自社サイトで誇らしげに宣伝しているからです。

しかし、研究者たちが困惑したのは、ユーザーの挙動が録画されていることがモバイル分析の企業である彼らに明白ではなかった、GoPuffのプライバシーポリシーではそれが明かされていなかったことでした。GoPuffに研究者らが連絡した後、同社はポリシーにAppseeがユーザーの個人情報を受信するかもしれないと認める文言を追加。同スタートアップの広報は、「注意書きを加えて、さらに最新版のAndroid・iOSアプリからAppsee SDKを削除した」とメールで述べていました。

Appsee側は、GoPuffに非があると主張しています。AppseeのZahi Boussiba CEOは自社の利用規約に、「我々のカスタマーは第三者のテクノロジーを使っていると公表する必要がある、そして規約にはいかなる個人情報をトラッキングすることをカスタマーに禁ずるとも明確に記している」と教えてくれました。Boussiba CEOいわく、カスタマーは彼らのアプリ内の機密情報を黒く塗りつぶしてAppseeによる録画を防止することは可能だし、多くの競合社もiOSとAndroid双方のアプリ用にユーザーのアプリ内での動きを記録・リプレイする機能を提供していると指摘しました。

Boussiba CEOはメールの中で、「この件では、Appseeの技術はカスタマーに誤用され、我々の利用規約は侵害された」と述べています。「この問題について知らされてから、我々はすぐさま言及されたアプリのトラッキング機能を無効化して、自社のサーバから全録画データをパージした」とのこと。

モバイル分析企業が完全に潔白というわけでもない


しかし、Androidアプリの入手元となるPlay Store、それを運営するGoogle(グーグル)の広報いわく、Appseeも完全に潔白というわけでもないんだとか。「オンラインのプライバシーとセキュリティーの慣例を改善しようと助けてくれる研究団体の尽力に、私たちはいつも感謝しています」と広報はメールで教えてくれました。「研究者たちの発見を精査した後、Appseeのサービスの一部により開発者たちはPlayポリシーを侵す危険に晒されるかもしれないと我々は判断しました。開発者たちがSDKの機能をアプリのエンドユーザーに適切に伝えられるよう、同社と密接に働いています」とのこと。

GoogleのPlayポリシーは、データがどのように収集されるかユーザーに明らかにしなくてはならないと記載しています。

画面録画をオフにさせてくれないと不安は拭えない


GoPuffはアプリのパフォーマンス最適化に役立てようとAppseeを用いたので、同社側からすれば録画は予想外なことではありませんでしたが、第三者が無断でスマホの画面を録画できるというのは気がかりなことです。

これは、悪意のある誰かがあなたのスマホから情報を盗むことは、潜在的に容易だと示しています。アプリ操作のスクリーンショットか動画は個人的なメッセージ、個人情報、あるいは入力されるパスワードでさえもキャプチャができるのです。多くのアプリは、黒いアスタリスクに変わる前に入力された文字を見せていますから。つまり、画面が録画されているとをスマートフォンのメーカーが知らせてくれたり、その機能を切れるようにならないかぎり、疑心暗鬼に陥るきっかけがあるということです。

この研究は、今月末にバルセロナで開催されるPrivacy Enhancing Technology Symposium Conferenceで発表される予定(スペインにいる間、研究者たちはバーなどでの違法放送を検知するために、承諾を得てユーザーのスマートフォンのマイクにアクセスしている同国内で人気のあるサッカーアプリについて調べたくなるかもしれませんね…)。

盗聴の可能性も否定しきれない


彼らの研究では扱えなかったシナリオもいくつかあったので、スマホが密かに盗聴しているわけではないとは断言できませんでした。

実験で使われたスマホは人の手ではなく自動化されたプログラムで動かされていたため、アプリの動かし方は生身のユーザーとは異なったかもしれません。

それに、検証用のスマホはそれらを起動するような世界をぶらぶらしていたわけではなく、コントロールされた環境下にあったのです。研究の最初の数カ月は、ノースイースタン大学のラボで生徒たちの近くに置かれて会話音に囲まれていましたが、絶え間なくアプリが動作して音がうるさかったので、クローゼットの中に移動させられたのでした(もしこの実験を再度行うのであれば、彼らはクローゼットの中のスマホの隣でポッドキャストをループ再生させるでしょうね)。

それに、もしアプリが会話を送信する前にテキストへと文字起こしをしていたら、研究者たちは会話の録音を見逃してしまったかもしれないということもあり得ます。なので、盗聴の可能性はまだ完全に葬りされないのです。

まとめ


人々がスマホに対して疑心暗鬼になるのは無理もないことです。私たちはほとんどいつも、自分たちの行動を監視することが可能な無数のセンサーがついた小さなデバイスを身に着けていますから。

あなたが目にする広告の不気味な正確さは、文字どおりスマホがあなたを盗聴した結果ではありません。それはアプリ経由で捉えられたあなたのデジタルと現実世界での行動と、己が思うほど唯一無二ではないという事実に基づくよいターゲティングの組み合わせによるものです。あなたが何を話題にしているのかを広告主が把握しているのは、あなたに似ている別の人たちが同じことを話し、同じような物を買っているからなんです。

論文の著者の一人であるDavid Choffnesは「人々の会話が密かに録音されているという証拠は何も見つかりませんでした」と語っていました。加えて、「スマホのカメラやマイクを介さないが、日常生活には包括的なあなたの人物像を第三者に与えるトラッキングが他にもたくさんあるということを人々は理解していないようです」とも 。

Image: Jim Cooke, David Choffnes
Source: Gimletmedia, Vice, CNBC, GoPuff, Appsee (1, 2, 3,), Google Play, Recon (1, 2), Petsymposium
Image: Jim Cooke, David Choffnes (Northeastern University)

Kashmir Hill - Gizmodo US[原文
(たもり)

あなたにおすすめ