私たちが急いで同意した利用規約は、何度も戻ってきて私たちを悩ませます。
先週の木曜日、ウォール・ストリート・ジャーナルGoogleが確認したと報告以前のレポートサードパーティ製アプリが Gmail ユーザーのアカウントや個人メールに対して広範囲にアクセスできることについて。
アプリをダウンロードすると、Gmail アカウントへのアクセスが要求される場合があります。しかし、アクセスを許可するときに気づかないかもしれないのは、これらのアプリが製品や、場合によってはターゲティング広告のために、メールの内容を含む Gmail データを分析する可能性があるということです。 Google がユーザーに適切に開示していると判断した場合に限り、アプリは第三者とユーザーの情報を共有することもできます。のジャーナル以前に、「数百」のアプリが「数百万」のユーザーの電子メールをスキャンできると報告されました。
グーグルは言うアプリをレビューして、何にアクセスできるかを明確に伝えているかどうかを確認します。しかし、Gmail ユーザーが勤勉でない限り、Mashable が話を聞いたセキュリティ専門家らは、このポリシーにより、ユーザーが同意または理解していない方法でユーザーを危険にさらす可能性があると述べています。
しかし、複数の専門家は、アプリ開発者によるユーザーデータへのアクセスは、単なる不気味さや侵入性をもたらすだけではないと述べた。アプリに Gmail へのアクセスを許可すると、漏洩する可能性があります受け取った電子メールと送信された電子メール。したがって、このポリシーではあなたとあなたの友人の両方のデータが公開される可能性があるため、アプリによる Gmail へのアクセスは、Facebook のアクセスを許可するメカニズムと同様のセキュリティ リスクを引き起こす可能性があります。ケンブリッジ・アナリティカのスキャンダル。
この例では、ある研究者が、27万人がダウンロードしたサードパーティ製アプリを使用して、友人ネットワーク内の8,700万人のFacebookユーザー全員のデータを収集し、その後、そのデータを使用して企業(ケンブリッジ・アナリティカ)に販売した。政治的な広告。したがって、同様に、メールを読む権限をアプリに与えている Gmail ユーザーにたまたまメールを送信した場合、そのアプリはあなたの通信や情報を見ることができるだけでなく、さらに離れた第三者もあなたのメールを見ることができます。あなたはいずれかの当事者に同意したことがある。
「この種のアクセスが悪用され、Cambridge Analytica と同様の方法で悪用されることを防ぐ方法がわかりません。」ブライアン・ホーナンとユーロポールと協力していた大手銀行のサイバーセキュリティコンサルタントは語った。 「人のアカウントにアクセスできるサードパーティのアプリは、その人に関する多くの個人データを公開し、その後の広告やメッセージのターゲットに使用される可能性があります。」
方針
Googleは書簡の中で、Gmailユーザーがアプリに自分のアカウントへのアクセスを許可すると、条件を十分に読まないと、おそらく不注意で、これらのアプリが個人情報を収集することを許可してしまう可能性があると議会に伝えたと伝えられている。アプリは、人々が電子メールで話している内容や人口統計などの情報を利用して、広告のターゲットを絞ることができます。 Googleがポリシーを発表ここ。
さらに、Gmail のルールに基づいて、開発者は Gmail ユーザーのデータをさらに他の外部関係者と共有することが許可されます。グーグルは言うアプリを精査し、開発者がアクティビティを適切に開示していると判断する限り、このデータ共有を許可します。
Gmail自体練習を終えた2017 年 7 月には、ユーザーの電子メールの内容を広告ターゲティングに使用することが禁止されました。しかし、ユーザーが「同意」している限り、外部の関係者に対してもこの機能が維持されているようです。
同意画面はどのようなものになるのか。 クレジット: Google
専門家らは、Gmail のアプリ開発者ポリシーのこの部分は、セキュリティとプライバシーの両方の面で、いくつかの理由から懸念されると述べている。
「技術的な制御が組み込まれていないと、アプリベンダーはプラットフォーム内やユーザーアカウント内で可能な限りどこにでもアクセスすることになります。」レベッカ・ヘロルド情報セキュリティのトップ専門家であり、多国籍企業のコンサルタントであり、「プライバシー教授」としても知られる同氏は、こう述べた。 「アプリはデータを収集するために設計されているのです。これらの企業は、そのようなことが起こらないように、より厳格な一連の管理を構築する必要があります。」
安全
Gmail のポリシーに関する最も単純な問題は、ユーザーがセキュリティ上の脆弱性にさらされる可能性があることです。
マカフィーの主任消費者セキュリティエバンジェリスト、ゲイリー・デイビス氏は「これらのサードパーティはすべてGoogleの精査を受けているが、現実にはどの企業もデータ侵害に対して脆弱だ」と述べた。 「個人や企業が個人データを共有すればするほど、その情報が悪意のある手に渡る可能性が高くなります。」
「サイバーセキュリティの観点から見ると、これらのサードパーティ製アプリが Google によってどの程度精査されているかはわかりません。」
Googleは強調するアプリを慎重にレビューし、高度なマルウェア検出フィルタリング技術を採用していること。また、Google Play または App Store からアプリをダウンロードしている場合、悪意のあるアプリに遭遇する可能性は低くなります (ただし、可能性はあります)。しかし人々はできるし、できるこれらのエコシステムの外でアプリをダウンロードしてください。
マッシュ可能な光の速度
このような場合、Google のデータ収集ポリシーにより、悪意のあるアプリがユーザーのアカウントにアクセスして侵害することが許可される可能性があります。特にアンドロイド上。 Herold 氏は、一部のアプリ ポリシーでは、アプリがユーザーのアカウントに「情報の挿入、編集、アップロード」を許可しているため、ユーザーに代わってマルウェアがスパムメールを送信する可能性があると指摘しました。また、個人の電子メールにアクセスすると、悪意のある攻撃者がより説得力のある標的を絞ったフィッシング メールを作成できる可能性があります。
「Googleは、悪意のあるアプリを特定してストアから削除するためのプロセスとシステムを整備していると主張しているが、こうした措置にもかかわらず、依然として悪意のあるアプリがストア内で定期的に発見されている」とホナン氏は述べた。
「サイバーセキュリティの観点から見ると、これらのサードパーティアプリがGoogleによってどの程度精査されているかはわかりません」とヘロルド氏は述べた。
プライバシーの負担
悪意のあるアプリはセキュリティ上のリスクを引き起こす可能性がありますが、単に広告目的でデータを使用したいだけの正規のアプリの方が実際にはより大きな問題である可能性があります。
現在、テクノロジー業界は大きな変革を迎えています。誰が責任を負うのかユーザーのプライバシーを保護するため。これまで、プライバシーを保護する責任はユーザーにありました。これは、アプリ開発者に対する Gmail の現在のポリシーを反映しています。
しかし、おかげで一般データ保護規則(GDPR) に基づいて、ヨーロッパでは、利用規約に同意を埋め込むことで人々に自分のデータを提供することに同意させる慣行が厳しい監視の対象となっています。広告データを目的とした電子メールの解析を行わないという Gmail 自身のポリシー変更は、この大きな変化を反映しています。そしてGoogleは最近、ユーザーにセキュリティ設定をより積極的に見直すよう促した。
しかし、電子メールにアクセスできるアプリに対する同社の姿勢は、プライバシーに対する時代遅れで脆弱なアプローチを反映しています。
「彼らがこの問題に対処するのは怠惰なやり方のようだ」とヘロルト氏は語った。 「彼らは、実際にGmailを保護し、サードパーティアプリが実際にできることを制限するためにGoogleが積極的な措置を講じるのではなく、Gmailを使用する人々に責任を押し付けようとしている。」
現在、ユーザーはアプリをダウンロードするときに、そのアプリに自分の Gmail アカウントへのアクセスを許可することに同意する可能性があり、誤ってアプリによるメールの読み取りや他の企業へのデータの提供を許可してしまう可能性があります。人々が許可を与える方法は、特にそれが行われる場合には、明確かつ率直である可能性があります。Google エコシステム内で。ただし、ユーザーが同意する方法はデバイスごと、アプリごとに異なります。つまり、Gmail は法的な観点から技術的にカバーされています。しかし、急いで許可を取得する性急なアプリのダウンロード者はそうではないかもしれません。
現在、Gmail ユーザーは次の場所でアプリへのアクセスを確認および取り消すことができます。myaccount.google.com。しかし、McAfeeのDavis氏は、GoogleはユーザーがGmail内で自分のデータに誰がアクセスできるかを簡単に制御できるようにすべきだと主張する。
「この問題の最も重要な部分は、結局は個人の好みによるものです」とデイビス氏は語った。 「私たちの多忙な生活の中で、多くの人が個人のニーズに合わせた広告を配信できることを重視しています。しかし、これがプライバシーの侵害だと感じている人もたくさんいます。Gmail ユーザーにオプトインまたはオプトアウトを許可することで、目に見える方法は、スペクトルの両端の消費者のニーズをサポートするのに役立つ可能性があります。」
Cambridge Analytica: Gmail 版?
ケンブリッジ・アナリティカをこれほど大規模な災害にしたのは波及効果だった。アプリをダウンロードした人はわずか約27万人だった。しかし、これらの人々は研究者のアレクサンドル・コーガン氏に、Facebookの友人全員に関するデータへのアクセスを許可した。つまり、彼は最終的に8,700万人分のデータを持っていたことになる。
同様に、人の受信トレイにアクセスする許可を受け取ったアプリには、その人の受信トレイが表示されます。全体受信箱 — アクセスに同意した 1 人によって書かれた電子メールだけではありません。つまり、これらのアプリは、個人が連絡を取る人の電子メールや連絡先情報にアクセスできる可能性があります。 Cambridge Analytica のように、すべてのプロフィール データにアクセスできるわけではありませんが、それでも人の名前、電子メール、その他の個人情報を知ることはできます。
ツイートは削除された可能性があります
Herold 氏は、人々の情報を保護するための具体的な制御機能を組み込むことは、プライバシー ポリシーを単に緻密な法的合意に委ねるのではなく、Gmail に任せるべきだと考えています。
「インターネット企業は、ユーザーアカウントの特定領域へのアクセスをブロックできるよう、予防的なセキュリティ制御を自社のプラットフォームに組み込む必要がある」とヘロルド氏は述べた。 「Facebookはそんなことはしませんでした。彼らの契約ではインフラストラクチャが広くオープンなままになっており、Googleも同じことをしているようです。」
また、Cambridge Analytica では、コーガン氏は技術的に他の関係者とデータを共有することを許可されていませんでした。しかし、Gmail では、アプリが何をしているのかを公開している限り、これは許容されます。
「最大の違いは透明性だ」とデービス氏は語った。 「Gmail 開発者は、Gmail データの使用方法について透明性を保つ必要がありますが、Cambridge Analytica スキャンダルの問題は、誰がどのデータにアクセスできるのかを理解していないことでした。」
この監視と透明性のプロセスにより、Gmail ユーザーは保護されるはずです。ただし、実際に時間をかけて同意した内容を読んだ場合に限ります。
そして、何も問題がない限り。
「契約上の要件に依存する場合の問題は、それ自体が情報セキュリティ管理ではないことです」とヘロルド氏は述べた。 「プライバシーの観点から見ると、それらのアプリが他の場所で何にアクセスし、持ち出し、使用しているかわかりません。未知のことが最大のリスクです。」