悪意のある動作から保護するために、上で実行されるアプリはアンドロイドスマートフォンは、個人情報へのアクセス、位置追跡、インターネット経由でのデータ送信などを行う場合、許可を丁寧に求める必要があります。しかし、承認を取得すると、これらのアプリは広告の配信に使用する広告ライブラリと権限を共有する可能性があり、プライバシーとセキュリティに重大な潜在的な脆弱性が生じる可能性があることが研究者らによって発見されました。
からランダムに選択された 100,000 個のアプリを調べますGoogleプレイノースカロライナ州立大学の研究チームは、これらのアプリで使用されている広告ライブラリのうち 48,139 個がユーザーの GPS 位置を追跡していることを発見しました。 18,575 件が携帯電話の身元を追跡しました (そのIMEI番号); 4,190 では、広告主が GPS 経由でユーザーを追跡できるようになります。 4,047 人がデバイスの電話番号にアクセスしました。
このような「広告ライブラリ」が多数存在し、関連するアプリで画面上広告を生成します。広告をクリックすると、アプリメーカーは手数料を受け取ります。研究を主導したノースカロライナ州の教授、Xuxian Jiang氏によると、これらのライブラリの1つは「energysource」と呼ばれ、インターネットからコードをロードするという安全でない方法を使用しているという。紙で発表される会議来月ツーソンで。研究者らは、このアプリによる悪意のある動作は検出しなかったものの、コードのダウンロードと実行を許可するだけでセキュリティ上の脅威となる可能性があると述べた。
100,000 個のアプリのうち、297 個には、インターネットからダウンロードされたコードを携帯電話で実行できるようにする広告コードが含まれており、悪意のあるソフトウェアがデバイス内に侵入する可能性がありました。 「あなたのアプリが個人情報にアクセスする許可を持っている場合、広告ライブラリもあなたの情報にアクセスする許可を持っています」とJiang氏は言います。
ノースカロライナ州の研究は、ギャップの最新の証拠にすぎない安全そしてスマートフォンのプライバシーホール。昨年4月、iPhoneとAndroidデバイスがユーザーの位置を自動的に追跡していることが判明した。その後、12 月に、これらおよび他のスマートフォン デバイスに診断ソフトウェアが搭載されていることが判明しました。幅広いユーザー情報を追跡します。最近では、iPhone と Android デバイスの両方がユーザーのアドレス帳を共有するアプリによるその他の情報。そしてモバイルマルウェアのインスタンス上昇してきています。
新しい発見は、アプリの背後にあるビジネスモデルに欠陥があることを示している、とジャン氏は言う。開発者は無料アプリをサポートするために広告ライブラリからの収益に依存していますが、それらのライブラリが何を行うかを制御することはできません。 「収益化を目的としてモバイルアプリに広告ライブラリを埋め込む現在のモデルには、セキュリティとプライバシーのリスクが伴います。これらの広告ライブラリには、基本的に、それを囲むアプリに付与される一連の権限と同じ権限が与えられます。また、特定の広告ライブラリは、他の望ましくない目的で広告ライブラリを悪用する可能性があります」 。」
Jiang 氏は、モバイル デバイス メーカーは、広告がホスト アプリとは別に実行されるように、この 2 つを分離する方法を提供する必要があり、個別の明示的な許可が必要であると述べています。 「モバイルアプリの収益化の方法には根本的な懸念がある」と彼は付け加えた。