Apple、ユーザーの操作を勝手に録画してたアプリに緊急措置を通告

  • 8,763

Apple、ユーザーの操作を勝手に録画してたアプリに緊急措置を通告
Photo: Alex Cranz(Gizmodo US)

これはよろしくない…。

先週TechCrunchが、いくつもの大手アプリがGlassboxという分析ツールを使って、ユーザーの許可なしでアプリの操作画面を録画していることを報じました。この報道を受けてAppleはアプリデベロッパーに対し、この機能を削除するなり、行動を記録していることをユーザーに通知するなりしなければ「緊急措置」を取ると通告しています。

クレジットカード番号や住所といった個人情報がしらないうちに…

TechCrunchに送ったコメントでAppleは、ユーザーの操作画面を記録することをユーザーに通知していないアプリをApp Storeのガイドライン違反だとしています。Appleはすでに該当するデベロッパーに対し規約違反であることを通知し、すぐにGlassbox部分のコードを削除しなければApp Storeから削除すると言っています。期限は1日以内と鬼の緊急対応ですが、漏れていた情報の重さからすれば当然かもしれません。

Glassboxにコメントを求めたところ、彼らのツールの目的はバグやエラーをくまなく探して使い勝手を改善することだと返ってきました。彼らは「Glassboxの顧客(アプリデベロッパー)が集めたデータはアプリ経由でしか収集されず、第三者に提供されたり、外部の情報源を付加したりはしていない」とのことです。Glassboxはまた、収集されたデータにアクセスできる人物はGlassboxに承認された人物だけだと言っています。

たしかに、使いにくいアプリで同じ操作をループしてしまったり、ヘルプをうろうろしたり、そういうユーザーの動きをデベロッパーが認識するのは有意義だと思います。でもアプリによってはパスワードを入力したり、中にはクレジットカード番号や住所といった個人情報を打ち込んでいます。

デベロッパーのミス?

Glassboxではこうしたセンシティブな情報を黒塗りにする機能があるのですが、デベロッパーが黒塗り部分をきちんと指定していないと、パスワードなどがそのままに残ってしまいます。Glassboxにこの点を聞いたところ、彼らは何でもマスキング可能だとしつつ、デベロッパーがミスをすることもある、と責任転嫁してきました。

そしてTechCrunchの元ネタになったApp Analystによれば、Air Canadaがまさにそんな「ミス」をしていて、ユーザーのデータが黒塗りされないままになっていました。クレジットカード番号やパスワード、住所などが、ユーザーの知らないところで記録され、Glassboxのデータを分析するAir Canada側の人から見える状態になっていたのです。以下の動画で、どんな情報が見えていたのかがわかります。

Video: Luke M/YouTube

Glassboxを使っている企業には他にExpediaやHotels.com、Abercrombie and Fitchなどなどがあり、それらのアプリではカード情報や住所といった個人情報を扱っています。

Glassboxはクロスプラットフォームなので、Androidでも使えます。TechCrunchはこの画面記録はGoogle Playのガイドラインにも違反していると指摘していますが、Googleがどんな対応をするのかはまだわかりません。現在Googleに質問を投げて、反応待ちです。

Glassboxを使っているExpediaからは、以下のメールがありました。

顧客のデータとプライバシーの保護は、私たちの最優先事項です。Expedia GroupのブランドによるiOS・Androidネイティブアプリではどれでも、Glassboxのサービスを有効に使っていないことを確認しました。いくつかのExpedia GroupブランドのAndroidネイティブアプリでは、Glassboxはコードベースで以前のプルーフオブコンセプトには存在していましたが、しばらく無効にされており、現在は有効に情報を収集していませんでした。

いつから無効になったのか質問してみましたが、それについてはまだ回答がありません。

ユーザーの操作を記録・分析するツールは「セッションリプレイ」と呼ばれて他にもいろいろあるようなのですが、他社のツールを使ってる会社はちゃんと許可をとっていて、ちゃんと黒塗りされてるんでしょうか…? App Analystによると、それらのツールに対してユーザーができるのは家のルータのDNS設定でツール側のサーバのアドレスをブロックすることくらいだそうで、けっこうハードル高いです。

Source: TechCrunch, YouTube