最近、米国の下院と上院の両院は、主に党派的(共和党が賛成、民主党が反対)な投票を行い、ブロードバンド利用者をインターネットサービスプロバイダーによる同意なしのデータ収集と販売から保護することになっていたFCCの新しいプライバシー規則を覆した。
CarrierIQのプライバシー大失態
2011年11月11日、セキュリティ研究者のトレバー・エッカート氏は自身のウェブサイトで、Verizon、Sprint、そしておそらく他の通信事業者が、多くのAndroidスマートフォンにCarrierIQユーザー追跡ソフトウェアをインストールしていると報告しました。エッカート氏は、このソフトウェアがスマートフォン上で低レベルの権限を持ちながら、ユーザーからその動作を隠蔽していたことから、「ルートキット」と定義しました。
このルートキットは、ユーザーが訪問したウェブサイト、入力した検索語句、デバイスの位置情報、アプリの使用状況データに加え、通信事業者の自社製品の使用状況や、携帯電話を使用しているユーザーの属性に関する情報も収集するために使用されました。これらのデータはユーザーの同意なしに取得されました。
それ以来、スマートフォンメーカーや通信事業者はCarrierIQソフトウェアの使用を特に中止したようです。CarrierIQ社は2015年にAT&Tに買収されましたが、AT&Tは「顧客のネットワークとワイヤレスサービスの体験を向上させる」ためだけにこの技術を使用していると述べています。
Verizon AppFlash: 古いものが新しくなる
CarrierIQルートキットの騒動は多くのスマートフォンユーザーを動揺させましたが、Verizonは現在販売しているスマートフォンにも同様の追跡機能を復活させようとしているようです。Verizonは、Androidスマートフォンを利用する新規および既存のすべての加入者に提供される、新しいアプリランチャー兼ウェブ検索ユーティリティ「AppFlash」を発表しました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Verizon 独自の AppFlash プライバシー ポリシーによると、デフォルトで収集される情報の種類は次のとおりです。
当社は、お客様のデバイスおよびAppFlashサービスの利用状況に関する情報を収集します。収集する情報には、携帯電話番号、デバイスID、デバイスの種類とオペレーティングシステム、お客様が利用したAppFlashの機能とサービス、およびそれらの利用状況に関する情報が含まれます。また、お客様のデバイスにインストールされているアプリのリストに関する情報にもアクセスします。お客様の許可を得た上で、AppFlashは、お客様のデバイスのオペレーティングシステムからデバイスの正確な位置情報や、デバイスに保存されている連絡先情報を収集します。
Verizonは、少なくとも位置情報の追跡はユーザーの許可を得て行われると述べているようですが、具体的にどのように実装されるのか、またスマートフォンユーザーにとって本当にオプトインとなるのかどうかは不明です。Verizon自身の解釈次第では、Androidデバイスで位置情報が有効になっている場合にも位置情報を追跡できる可能性があります。
ベライゾンのそれほど単純ではないオプトアウトソリューション
FCCのプライバシー枠組みが完全に覆された後、連邦取引委員会(FTC)がVerizonに対して独自のプライバシー規則を施行できるかどうかは未知数です。しかし、FTCはこれまで、こうしたプライバシー侵害に対して数百万ドル程度の少額の罰金しか科していません。これらの規則に違反することで、その1000倍(数十億ドル)もの利益を得る可能性のある企業にとって、これらの罰金は十分な抑止力にはならないでしょう。
ここでの真の問題は、ほとんどの情報が同意なしに収集されることであり、ユーザーがその収集(あるいは大部分)を停止したい場合、オプトアウトする必要があるということです。ほとんどの人は、トラッキングがバックグラウンドで行われていることに気づいていないことが多いため、いかなる種類のトラッキングもオプトアウトしませんが、オプトアウトするのが面倒な場合も多いのです。
VerizonにはAOL広告ネットワークのトラッキングをオプトアウトできるウェブページがありますが、あらゆる種類のトラッキングを完全に停止するには、複数のサイトにアクセスし、複数の手順を実行する必要があります。また、オプトアウトしても、Verizonが引き続きウェブトラフィックに挿入する可能性のある広告を完全に停止することはできないようです。広告は、訪問したウェブサイトの種類やトラッキングデータに基づいて表示されなくなるだけです。
記載されているいずれかの選択肢を通じて広告トラッキングを制限したりオプトアウトしたりすると、同じ場所に広告が表示されますが、それらの広告はユーザーの興味に基づいたものでなくなるため、関連性が低くなる可能性がありますのでご了承ください。
AppFlash – 攻撃露出の観点から見た Android デバイスの「フラッシュ」?
Verizonが選んだ名前は、結局は運命づけられていたのかもしれません。EFFによると、VerizonがすべてのAndroidデバイスにAppFlashを搭載するという事実は、ユーザーを新たな攻撃ベクトルにさらす可能性があるとのことです。Verizonがリブランドしたサードパーティ製のソリューションをベースにしていると思われることを考えると、Verizonがこのランチャーの安全性を高く保証することはないと思われます。
Adobe Flash プレーヤーと同様に、Verizon AppFlash も、システム権限を持っている可能性があり、他の (悪意のある) アプリや Web サイトを起動するために使用できるため、攻撃者を誘惑して悪用させる可能性があります。
FCC のプライバシー規則が廃止されようとしている今 (議会で可決された決議にはまだ大統領の署名が必要)、他の通信事業者やブロードバンド プロバイダーが、自社のサービスで販売またはレンタルするデバイス向けに同様のユーザー追跡ソリューションを開始する可能性がある。
これにより、インターネットおよび音声通話プロバイダーは、顧客が支払う意思のある適正な料金でのみサービスを提供できるという従来の考え方に終止符が打たれる可能性があります。プロバイダーは、サブスクリプションだけでなく、通常は顧客の同意なしに顧客のデータを広告主に販売することでも収益を得ることができるようになります。
ネット中立性規則も廃止されれば、インターネット企業とその顧客の両方に対する無線・ブロードバンドサービスプロバイダーの影響力はさらに強まる可能性があり、プロバイダーが提供するデバイスの選択肢が狭まる可能性があります。また、無線・ブロードバンドプロバイダーは、VPNサービスやTorネットワークなど、追跡を阻止するサービスやツールの速度を低下させることも可能になるかもしれません。
