Bleeping Computerは1月25日(米国時間)、「iPhone apps abuse iOS push notifications to collect user data」において、一部のiPhoneアプリがプッシュ通知を悪用してフィンガープリントを収集しているとして、注意を呼び掛けた。この問題を発見したモバイル研究者のMysk氏によると、これらアプリの活動はAppleのバックグラウンド動作の制限を回避するものであり、iPhoneユーザーにとってプライバシーのリスクになるという。
アプリの制限
Appleは、「App Store Review Guidelines - Apple Developer」にて、アプリの動作に関するさまざまな規則を定めている。このガイドラインに違反するとアプリの審査に不合格となり、App Storeからアプリの配信を拒否される可能性がある。このため、通常はこのガイドラインを遵守したアプリだけがApp Storeから配信されている。このガイドラインには、データ収集に関する項目がいくつか定められているが、そのうちの一つに以下がある。
- 5.1.2 データの使用と共有 - (iii)アプリは収集されたデータに基づいてユーザープロファイルを密かに構築しようと試みてはならない。また、Appleが提供するAPIから収集されたデータ、または「匿名」、「集計」などの個人を特定できない方法で収集されたデータに基づいて、匿名ユーザーを特定したり、ユーザープロファイルの再構築を試みたり、促進したり、奨励してはならない
Mysk氏の通信データ分析により、人気のある複数のアプリがこの規則を無視し、プッシュ通知などを悪用してバックグラウンドで密かにデータを収集・送信していることが発見された。
収集データとリスクの軽減策
収集データにはシステムの稼働時間、ロケール、キーボードの言語、使用可能なメモリ、バッテリーの状態、ストレージの使用状況、デバイスのモデル、ディスプレーの明るさなどが含まれるという。これらデータはユーザーを直接特定するものではないが、明らかに収集する必要のないデータが含まれていることから、フィンガープリンティングの目的があるとみられている。これまでの分析で、TikTok、Facebook、X(旧Twitter)、LinkedIn、Bingなどがデータ収集を行っていることが確認されている。
Appleはこのような行為を明確に禁止するため、「Describing use of required reason API | Apple Developer Documentation」を公開している。この中で、Appleは「ユーザーがアプリに許可を与えたかどうかにかかわらず、フィンガープリンティングは許可しない。」と述べており、匿名ユーザーの特定を試みることを禁止している。
2024年春以降、一部のAPIを使用する場合はその使用理由をプライバシーマニフェストファイルに記述する必要があり、違反するとApp Storeから拒否されるようになる。Appleによる対策が実施されるまでの間、ユーザーは通知を完全に無効化することでこのリスクをある程度軽減することができる。