複数のiOSアプリが、ユーザの機密情報が入ったスクリーンショットを企業に送信していることが判明

xiaolong

6年前

TechCrunchが本日発表した新しい調査によると、iPhoneアプリケーションの中には「顧客体験（UX）分析会社」であるGlassboxのようなサービスを使ってタップやスワイプを追跡していることが明らかになっています。Hollister、Air Canada、Expedia、Hotels.comなどのアプリはこのフレームワークを使用しており、場合によっては機密情報を漏らすこともあるということです。

Glassboxは、「セッション再生テクノロジ」を採用した、いわゆる分析会社の1つです。これにより、開発者はディスプレイを記録し、ユーザーがアプリとどのような操作をしたかを確認できます。TechCrunchは、次のように述べています。

これらのセッションリプレイを使用すると、アプリ開発者は表示画面を記録して再生し、ユーザーがアプリをどのように操作して、目的通り機能しなかったか、またはエラーが発生したかを確認することができます。すべてのタップ、ボタン操作、およびキーボード入力が記録され、実質的にはスクリーンショットが撮られ、それがアプリ開発者に送り返されます。

Glassboxは最近のツイートで、「Webサイトやモバイルアプリが、顧客の行動をリアルタイムで正確に把握できるのであれば、その理由を想像してみてください」と述べています。

Imagine if your website or mobile app could see exactly what your customers do in real time, and why they did it? This is no longer a hypothetical question, but a real possibility. This is Glassbox. Experience it for yourself: https://t.co/E3uXcr0Gjf pic.twitter.com/9cJ40xbSaI
— Glassbox (@GlassboxDigital) October 16, 2018

さらに、The App Analystは最近、Air CanadaのiPhoneアプリがセッションの再生において、ユーザの機密情報を適切にマスキングする処理をしていないことを発見しました。これは、パスポート番号やクレジットカード情報などの機密情報が、Air Canadaの従業員に簡単に表示されることを意味しています。これはすべてのアプリに当てはまるわけではありませんが、Air Canadaは最近、2万人のユーザープロファイルに影響を与えるデータ侵害を受けたばかりです。それは、この機密情報をそのまま送信してしまっていたことが利用されたことに他なりません。

Air Canadaのアプリの例。スクリーンショット送信の際に、大抵は左のようにマスキングされていますが、一部のスクリーンショットは右のように完全に機密情報が公開されてしまっています。

Glassboxを利用しているアプリは、企業によってセッション再生データをGlassboxサーバーに直接送信するようにもできますし、また自分のサーバーに送信するように設定することもできます。そしてTechCrunchの調査によれば、どちらの場合も、一部のデータはマスクされておらず、中間者ツールを使って簡単にアクセスできることがわかりました。

HollisterとAbercrombie＆FitchはGlassboxにセッションリプレイを送信しましたが、ExpediaやHotels.comのような企業は、セッションリプレイデータをキャプチャして自分のドメインのサーバーに送信することを選択しました。これらの企業はデータは「ほとんど難読化されている」と述べたが、場合によっては送信データの中から電子メールアドレスと郵便番号を調べることができました。研究者は、シンガポール航空もセッション再生データを収集していますが、それをGlassboxのクラウドに直接送り返していることを発見しています。

TechCrunchは、Air Canada、Hollister、Expedia、Abercrombie＆Fitch、Hotels.com、Singapore Airlinesなどのアプリを「犯罪者」として名指ししています。これらの企業のどこも、彼らが公開しているプライバシーポリシーの中で、セッション再生技術を使用することについて言及していないからです。

そしてこれらの企業のほぼ全てがセッション再生技術の使用に関する詳細についてのTechCrunchの取材を受け容れず、アバクロンビー＆フィッチだけが正直に回答しました。アバクロンビーは、Glassboxを使用することで「シームレスなショッピングエクスペリエンス（買物体験）をサポートし、顧客がデジタルエクスペリエンスで遭遇する可能性のある問題を特定して対処できるようになりました」と述べています。

ちなみにiOSでのスクリーンレコーディング分析フレームワークの使用は、必ずしも新しいことではありません。それらを使用する開発者は、オペレーティングシステム全体ではなく、アプリケーション内でしか見ることができません。Appleはそのようなフレームワークの使用についてまだ取り締まっていませんが、この件が明るみに出た以上、すぐに禁止したとしても驚くべきことではないかもしれません。

なお、TechCrunchからの完全な調査はここで読むことができます。

これは米国メディアによる調査のため、調査対象アプリは全て米国のものですが、日本や中国などアジアの人が使うアプリにもGlassboxのような顧客体験分析ツールが使われていたとしたら、日本人や中国人などにも大きな影響が出そうな気がします。Appleは早急にこの問題に対処する必要に迫られるかもしれません。

記事は以上です。

（記事情報元：TechCrunch）