写真:欧米のユーザーの間で広まっているMeituの自撮りホラーアプリはプライバシーの悪夢だと研究者らは言う。
このアプリは、動作するデバイスに関する情報を収集し、侵入的な広告追跡機能を備えており、コードも粗雑です。しかし、最悪なのは、この無料アプリが一部のユーザーを呼び出し、個人データを開発者と共有しているように見えることです。
著名な科学捜査専門家ジョナサン・ズジアルスキー氏によると、中国製のMeituのコードには、iPhone端末がジェイルブレイクされているかどうかを判断するためのチェックが最大3つ含まれており、モバイルプロバイダの情報を取得する機能や、さまざまな分析機能も含まれているという。
Zdziarski 氏は、このアプリは端末の MAC アドレスに一部基づいて、固有のデバイス プロファイルも構築するようだ、と述べている。
「Meitu は、複数の分析機能とマーケティング/広告追跡パッケージを寄せ集めたもので、人々が使いたくなるような魅力的な仕掛けが施されている」と Zdziarski 氏は言う。
マルウェア研究者 FourOctets は、携帯電話の固有の IMEI 番号が数十の中国サーバーに送信されていることを発見しました。
これらの人々はあなたのネットワーク上にいて、給与計算を担当しています。このアプリは、何が起こってもおかしくないほど無害です。
— FourOctets (@FourOctets) 2017年1月19日
位置情報は、端末で起動すると取得され、既存の写真の exif データから取得される場合もあります。
このアプリケーションが明らかに悪質であるという証拠はありませんが、無料の製品やサービスの提供費用を賄うために、大量のユーザーデータを密かに収集するために、アプリ開発者がいかにして正当性の限界を押し広げることができるか、また実際に押し広げているかを示す一例です。
Meitu をインストールしたい技術ユーザーは、その価値と、個人を特定できる情報が収集され、未知のソースに配布されることとを比較検討する必要があります。
より一般的な非技術系ユーザーは危険な状況にあり、アプリをインストールしたい場合、デバイスのカメラへのアクセス以外の Meitu の許可要求を拒否しようとする可能性がありますが、これは決してデバイスのデータを保護するための確実な手段ではありません。
セキュリティやプライバシーの専門家は、このアプリをほとんど避け、その収集機能を非難しているが、何百万人もの常連ユーザーはこのアプリをダウンロードし、高い評価を与えている。
マーケティングやビッグデータのターゲットにされるのが好きなら、ぜひMeituを経営してみてください。彼らのデータを購入している人はきっと感謝してくれるでしょう。
— ジョナサン・ズジアルスキ (@JZdziarski) 2017年1月19日
他の人もこのアプリを調査し、アプリが要求する膨大な数の権限を集計しました。その中には次のようなものがあります。
- デバイスとアプリの履歴。
- 正確な位置情報
- 電話のステータス;
- USB、写真、およびファイルストレージの読み取りと書き込み。
- カメラ;
- Wi-Fi 接続;
- デバイス ID と通話情報。
- 完全なネットワークアクセス
- 起動時に実行、
- デバイスがスリープ状態にならないようにします。
Vulture Southの予備スマートフォンでテストしたところ、ストレージとカメラの権限は許可し、スマートフォンの権限は拒否した状態でも、このアプリは筆者の悪夢のような自撮り写真を撮影するのに十分な機能を発揮しました。Android 7 Nougat搭載端末では、その他のプロンプトは表示されませんでした。®
