Android アプリ用の広告ライブラリー内に、ユーザーの個人情報などを取得するコードが発見される
2011年4月13日 10:00
headless 曰く、 米セキュリティ会社 Veracode の調査によると、Android 用の無料アプリが使用する広告ライブラリーに、ユーザーの個人情報などを広告プロバイダーに送信するコードが含まれていたとのこと (Veracode のブログ記事、その続報、Engadget Japanese の記事より) 。
4 月 4 日に Pandora Media が米国証券取引委員会に提出した書類の中で、同社を含む複数のスマートフォン向けアプリの開発元が、連邦大陪審からの召喚状を受け取っていることが明らかになった。これは、スマートフォン用のアプリから不正に収集されたユーザーの個人情報が、広告プロバイダーと共有されているという件の調査に関するものとみられている。Wall Street Journal の記事によると、Pandora の場合は iPhone 版 / Android 版ともに、ユーザーの年齢、性別、場所、端末固有の情報を複数の広告プロバイダーに送信していたという (CNET Japanの記事) 。
これに興味を持った Veracode が分析したところ、Android 版の Pandora には 5 つの広告プロバイダーのライブラリーが使用されており、個人情報や GPS の位置情報、Android ID などにアクセスするコードがライブラリー側に含まれていたのだという。なお、Pandora のマニフェストでは GPS アクセスを許可していないため、実際に位置情報を取得することはできないが、GPS 機能を使用するアプリに同じ広告ライブラリーを組み込んだ場合には、位置情報の取得および送信が行われてしまう可能性がある。Veracode の調査では、「CBS News」などの GPS 機能を使用する Android アプリで、上記ライブラリーの 1 つ「AdMob」が組み込まれているという。このようなことから、Veracode は Pandora 側が広告ライブラリーの動作を知らずに組み込んでいた可能性も指摘している。
スラッシュドットのコメントを読む | プライバシ | Android | iPhone 関連ストーリー: ユーザーの承諾なしで個人情報を送信するアプリ、Appleと共に訴えられる 2011年01月02日iPhone、Android 携帯のアプリが個人情報を漏洩している 2010年12月19日 Android、複数の人気アプリケーションで無断情報送信を確認 2010年10月03日 iAdを巡り、Appleと Googleとの間に争い勃発か 2010年06月12日