セキュリティソフトのグローバルリーダーであるアバストは、Android向けの懐中電灯アプリが平均25件の権限を要求していることを明らかにしました。アバストのモバイル脅威インテリジェンス プラットフォームであるapklab.ioを使用し、Google Play Storeで公開されている、もしくは過去に公開されていた937個の懐中電灯アプリの権限の要求状況を分析しました。これらのアプリのうち、408個のアプリは10件以下の権限、276個のアプリは11~49件の権限、262個のアプリは50~77件の権限を要求していることが判明しました。
権限を求めすぎるアプリ
アプリを適切に機能させるためにデバイスのデータや機能へのアクセスが必要であり、アプリはこうした権限を要求することができます。例えば、懐中電灯アプリの場合、懐中電灯として使用するため、スマートフォンのフラッシュへのアクセスが必要です。しかし、多くのアプリが、実際には不要な権限へのアクセスを要求してきます。
アバストのセキュリティ・エバンジェリストであるルイス・コロンズ(Luis Corrons)は、次のように述べています。「当社が検証した懐中電灯アプリの要求する権限の中には、説明ができないものがあります。77個のアプリが録音、180個のアプリが連絡先の読み込みの権利を要求しており、さらに21個の懐中電灯アプリは連絡先の書き込みの権限を要求しています。当社の検証した懐中電灯アプリは、どんなにシンプルなアプリでも個人情報へのアクセスが可能であることの実例です。ユーザーがアプリをダウンロードした際、アプリの開発者だけでなく、金銭目的で提携している広告パートナーにもデータへのアクセスが付与されることが往々にしてあります。残念なことに、開発者のプライバシーポリシーはすべてを網羅しておらず、サードパーティによる別のプライバシーポリシーが別途記載されていることが多いのが実情です。」
多くのアクセス許可を要求するGoogle Playアプリ トップ10
アプリ名 |
権限要求 |
ダウンロード数 |
|
1 |
77 |
100,000 |
|
2 |
77 |
100,000 |
|
3 |
76 |
1,000,000 |
|
4 |
76 |
100,000 |
|
5 |
76 |
100,000 |
|
6 |
74 |
1,000,000 |
|
7 |
71 |
1,000,000 |
|
8 |
70 |
500,000 |
|
9 |
68 |
1,000,000 |
|
10 |
68 |
500,000 |
※すでにGoogle Play Storeから取り下げられているアプリもございます。
権限要求はグレーゾーン
多くの権限を要求するアプリに対して、ユーザー自身がアクセスを許可してしまうため、悪意がある、または迷惑アプリの可能性があるアプリとしてフラグを付けることはグレーゾーンの領域にあります。考えられないような権限を要求してくるアプリもありますが、それらが必ずしも悪意あるアクティビティを実行しているとは限らないため、多くのセキュリティソリューションは、こうしたアプリに悪意があるとは認定しません。ユーザーがアプリをインストールする際、そのアプリと関連するサードパーティに対し、アプリが許可を要求するアクションを実行するかどうかを判断する権利が与えられます。アプリ開発者は広告主から金銭を得るために、広告用のソフトウェア開発キット(SDK)をコードに組み込んでいます。こうしたSDKを活用してターゲットユーザーに広告を表示できるよう、アプリは多数の権限を要求しています。
ユーザーはこうした背景を理解し、アプリをインストールする前に、アプリが要求する権限を入念に確認する必要があります。プライバシーポリシーと利用規約に加えて、アプリのダウンロードページに記載されているユーザーレビューもしっかり確認することを推奨します。
懐中電灯アプリの分析の全文は、Avast Decodedブログ (英文) でご覧いただけます。