アップルとGoogle共同開発のコロナ接触通知、Android版にプライバシー漏えいに繋がるバグ発見

アップルとGoogle共同開発のコロナ接触通知、Android版にプライバシー漏えいに繋がるバグ発見

  • Engadget
  • 更新日:2021/04/29
No image

Apple,Google

アップルとGoogleが共同で新型コロナ濃厚接触通知APIを発表した当時、収集された情報はユーザー自らが共有しない限り端末外に出ることはなく、プライバシーは完全に守られると約束していました。しかしAndroidデバイスに関しては機密データが漏えいする可能性のある欠陥が見つかり、Googleがすぐに対応しなかったと報じられています。

テクノロジーが社会に及ぼす影響に取り組む非営利組織The Markupによると、この不具合はシステムログに記録された機密情報をプリインストールされている他のアプリ(特別な権限が与えられている)が読み取れるというものです。つまりアプリを開発した企業のサーバに情報が送られた可能性があったわけです。

新型コロナ接触通知アプリの場合、システムログには陽性反応が出た人と接触したかどうかのデータや端末名、MACアドレス、他のアプリの広告識別子などが含まれている可能性があるとのこと。サムスンやモトローラ、ファーウェイなどの携帯電話にプリインストールされた400以上のアプリがクラッシュレポートや分析目的で、このシステムログを読み取る許可を得ていることが判明していると伝えられています。

この欠陥を発見したプライバシー分析会社AppCensusが今年2月にGoogleに警告したにもかかわらず、当時は見向きもされなかったそうです。AppCensusは米国土安全保障省との契約の一環としてテストして見つけたいきさつですが、iPhone版のフレームワークには同様の問題がなかったと報告しています。

Googleの広報がMarkupにメールで送った声明は「Bluetoothの識別子がデバッグ目的で特定のシステムレベルのアプリケーションから一時的にアクセスできる問題について報告を受け、直ちに修正プログラムの展開を開始しました」と述べています。Android端末へのアップデートはロールアウト形式で数週間前から始まっており、数日間で完了する予定とも付け加えています。

またGoogle側は、(漏えいした可能性ある)Bluetooth識別子にはユーザーの位置情報やその他の識別情報は含まれず、何らかの形で悪用された痕跡もないと回答しています。

日本でも同じシステムを使った接触確認アプリCOCOAが2020年9月末以降、事実上機能していなかったことが判明していました。人類にとって未曾有の危機に立ち向かうために急きょ開発された接触通知システムですが、前例のない状況ゆえに欠陥の見落としも発生しやすく、対応も後手に回りがちなのかもしれません。

Source:The Markup,AppCensus

via:AppleInsider

Kiyoshi Tane

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。
  • このエントリーをはてなブックマークに追加