先日、Androidアプリの多くが個人情報を無断送信しているという、セキュリティリスクを内在していることを紹介したが、こんどはiPhoneを含むiOSプラットフォーム上で同様の問題を含む可能性が存在することが、あるセキュリティ専門家の指摘によって指摘されている。

米ペンシルバニア州ルイスバーグにあるバックネル大学(Bucknell University)でネットワーク管理者を担当しているEric Smith氏が10月1日(現地時間)に発表した論文 (PDFファイル)によれば、iOSデバイスには個々を識別するための端末番号と呼べるUDID (Unique Device Identifier)が付与されており、iOSアプリがこれを自由に読み取り、バックエンドのサーバへ送受信可能な状態になっているという。もともとiOSではGPSデータやUDIDの利用が可能になっており、iOS SDKの規約が許す範囲で運用が可能になっている(例えばiOS SDKの規約では広告ネットワークの構築でこれらデータの利用を許している)。

Smith氏がiPhoneアプリのうち"Most Popular"や"Top Free"のカテゴリのものの多くを、ツール群を使って解析したところ、その68%がアプリとインターネット上のバックエンドサーバとの間でUDIDの交換を行っており、さらに18%については通信内容が暗号化されておりどのようなデータがやり取りされているのか不明だったという。こうしたデータを送受信していないアプリはわずか全体の14%で、そのほとんどが何らかの形でUDIDをやり取りしている可能性が高いという。

同氏はハッキングコンテストのDEF CONで2度の優勝経験を持つハッカーだが、過去にIntelが発売したPentium IIIの例を持ち出して現状の問題について喚起している。Pentium IIIは1999年にリリースされたが、そのとき同プロセッサはProcessor Serial Number(PSN)という機能を持っており、個々のプロセッサをアプリケーションから自由に識別可能だった。これについて多くの業界団体や政府がPSN導入を非難し、Pentium IIIの利用を禁止すべく動いたという。結果としてIntelはすぐにPentium IIIからPSNの機能を外し、後の製品でこうした機能を導入することは二度となかった。Smith氏は「Pentium IIIの時代に騒がれたことを今日のiPhoneユーザーが気にしないのはなぜだろう」と述べ、この仕組みと現状に疑問を呈している。