個人の位置情報をブローカーに売っていたX-Modeはアプリがストアから排除されてもユーザーの追跡を継続
今回は「個人の位置情報をブローカーに売っていたX-Modeはアプリがストアから排除されてもユーザーの追跡を継続」についてご紹介します。
関連ワード (App Store、Apple、Google、Google Play、X-Mode、アプリ、位置情報等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
これまでの発表よりもはるかに多い、何百ものAndroidアプリがユーザーの詳細な位置データをX-Mode(エックスモード)に送信していたことが判明した。X-Modeは位置データを米軍の請負業者に売ることで知られているデータブローカーである。
新たな調査によれば、そうしたアプリにはメッセージアプリ、無料の動画、ファイル変換ソフト、さまざまな出会い系サイト、宗教と礼拝用のアプリが含まれている。どれも、これまでに数千万回もダウンロードされているアプリである。
ExpressVPN Digital Security Labの主席調査員Sean O’Brien(ショーン・オブライエン)氏と、Defensive Lab Agency(ディフェンシブ・ラボ・エージェンシー)の共同創設者Esther Onfroy(エスター・オンフロイ)氏は、ここ数年のある期間にX-Modeのトラッキングコードが埋め込まれているAndroidアプリを200近く発見した。
一部のアプリは、つい2020年12月にAppleとGoogleがアプリからX-Modeを削除しないとアプリストアから排除することを開発者に通達した時点でも、まだ位置データをX-Modeに送信し続けていた。
しかし、排除が通達されてから数週間経っても、米国のある交通地図アプリは、依然として位置データをX-Modeに送信していたにも関わらずGoogle Playからダウンロード可能だった。このアプリは人気があり、すでに数十万回もインストールされている。
公開された新たな調査は、X-Modeと連携したアプリについて今までに行われた調査の中で最も大規模なものであると考えられている。通常の携帯電話用アプリから収集された位置データの利用権売買は数十億ドル(数千億円)規模の産業になっており、X-Modeはその産業で商売している数十社の企業の1つである。そうした位置データはたいていターゲティング広告を提供するために使用される。
先に米国諜報機関が商用の位置データの利用権を買い取り、米国人の過去の行動を、令状を取得する前に調査したことが報じられたばかりであるため、X-Modeには、政府の仕事との関係を疑う厳しい調査の目が向けられることになった。
X-Modeは、アプリ開発者にお金を払ってソフトウェア開発キット(SDK)と呼ばれる追跡用コードを使ってもらい、その代わりにユーザーの位置データの収集と引き渡しを請け負う。この追跡に関するユーザーのオプトインは、アプリの利用規約とプライバシーポリシーを承諾することにより成立する。ただし、位置データが最終的にデータブローカーの手に渡る可能性や軍の請負業者に販売される可能性があることを、X-Modeを使用しているすべてのアプリがユーザーに開示しているわけではない。
X-Modeが軍の請負業者(広い意味でとらえると米軍)と関係していることを最初に公表したのはMotherboard(マザーボード)だ。その報告では、世界中で9800万回以上ダウンロードされている有名な礼拝用アプリが詳細な活動データをX-Modeに送信したことが明らかになった。
2020年11月、Motherboardはさらに、これまで報告されていないイスラム教の礼拝用アプリQibla Compass(キブラ・コンパス)がX-Modeにデータを送信していたことを発見した。この発見はオブライエン氏の調査結果でも裏づけられており、さらにいくつものイスラム教徒向けのアプリにX-Modeが組み込まれていることが指摘された。Motherboardは、ネットワークトラフィックを分析することで、そうしたアプリの少なくとも3つはある期間にX-Modeに位置データを送信していたことを確認した。ただし、Google Playにある最新バージョンではすべて改善されている。Motherboardの記事全文はこちらで読むことができる。
2020年、X-Modeの最高経営責任者Josh Anton(ジョシュ・アントン)氏は、CNNに対して、データブローカーは米国で2500万台のデバイスを追跡しており、Motherboardによって指摘されたSDKは約400のアプリで使用されていると説明した。
アントン氏はTechCrunchに次のように語っている。
X-Modeがほとんどの広告用SDKと同じようにモバイルアプリデータを収集していたことを考えると、X-ModeのSDKの排除はエコシステムに大きな影響を与えることになる。AppleとGoogleは、パブリッシャーの大部分が位置データの収集と使用に関する二次的同意を得ていたとしても、モバイルアプリデータの収集と使用に関するいち企業の能力をプラットフォームが決定できるという先例を作った。
最近、当社は、この問題に協力して解決する最善の方法を理解するためにAppleとGoogleに公式文書を送った。命を救うための位置データの使用と、位置データを活用した製品を開発するテックコミュニティの機能強化を両方とも継続して行うためである。当社は、AppleとGoogleが位置データの収集と使用に関して自分たちに当てはめている同じ基準をX-Modeにも適用することが重要であると考えている。
調査員は、X-ModeのSDKを使用しているアプリとの通信が行われたことが判明している新しいエンドポイントも公表した。オブライエン氏は、これが、ユーザーの位置データをX-Modeに送信しているアプリや送信履歴のあるアプリのさらなる発見に役立つことを期待している。
オブライエン氏は「私たちは、こうしたロケーショントラッカーのターゲットになっているかどうかを利用者が識別できるようになることを望んでいる。さらに重要なこととして、こうしたスパイのような行為を止めるよう強く求める。調査員は公共の利益のために調査結果を精査し、プライバシー、セキュリティ、権利への脅威を明らかにする必要がある」と語った。
TechCrunchは、調査結果に含まれていたアプリの中から、ダウンロード数の多い20数個のAndroidアプリを選び、そのネットワークトラフィックを分析した。既知のX-Modeのエンドポイントと通信していたアプリを探し、ある期間に位置データをX-Modeに送信していたアプリを確認するためである。
また、調査員によって特定されているエンドポイントを使用し、X-Modeと通信している可能性がある有名なアプリが他にもないか探すことにした。
その結果、Googleアプリストアの排除から抜け落ちているアプリを少なくとも1つ特定できた。
Googleによって削除される前にGoogle PlayにあったNew York Subway(画像クレジット:TechCrunch)
New York Subway(ニューヨーク・サブウェイ)はニューヨーク市の地下鉄網を案内する人気アプリで、これまでに25万回ダウンロードされ、Sensor Tower(センサー・タワー)によって提供されるデータを使用している。このアプリは、本記事の執筆時点でもまだGoogle Playに掲載されており、アプリストアが排除を通告してから更新されていないため、依然として位置データをX-Modeに送信していた。
アプリを読み込むと、広告、分析、市場調査のためにX-Modeへのデータ送信に同意するようユーザーを求めるスプラッシュスクリーンがすぐに表示されるが、アプリにはX-Modeの政府関係の活動については少しも説明されていなかった。
イスラエルに拠点を置くアプリメーカーDesoline(デソリン)に何度かコメントを求めたが、回答はなかった。ただ、問い合わせを行った少し後にこのメーカーはプライバシーポリシーからX-Modeに関する記載を削除した。本記事の執筆時点では、このアプリはGoogle Playから消えたままである。
Googleの広報担当者は、この会社がGoogle Playからアプリを削除したと説明している。
また、TechCrunchは、調査員が提供しているアプリの一覧を使用して、非常に人気のある2つのアプリMoco(モコ)とVideo MP3 Converterの旧バージョンを発見した。これまで累計1億1500万回以上ダウンロードされているが、いまだにユーザーの位置データをX-Modeに送信している。Google Play以外からAndroidアプリをインストールし、データをX-Modeに送信する古いアプリを実行しているユーザーにプライバシーリスクをもたらしている。
どちらのアプリメーカーにもコメントを求めたが回答はなかった。Googleは、同様の問題がある他のアプリが削除されたかどうかや、位置データをX-Modeに送信する古いバージョンのアプリを実行しているユーザーを保護するためにどんな対策を講じるかを、たとえその方法があるとしても説明しないだろう。
AppleのiOS用の対応するアプリや同じ名称のアプリについても調査したが、X-Modeのエンドポイントとの通信が検出されたものは1つもなかった。Appleに問い合わせたところ、排除を実施した後にいずれかのアプリをブロックしたかどうかについてのコメントは拒否された。
オブライエン氏は「スマートフォンのセンサーは、不当に利用すれば、私たちの活動、自由な表現、自主性を制限しかねない多くのデータを提供している。位置データの密かな収集は、人権に関わる重大な脅威をおよぼしている。生活の中で特にセンシティブな部分や、誰と一緒にいるかといったことを観察できるからだ」と語る。
最近公開された調査によって、一般的なスマートフォンアプリから何百万もの米国人の個人データが(ほとんどの場合、ユーザーの明示的な同意なく)収集・販売されている方法に関する新たな事実が明らかになる可能性がある。
米政府の監視機関は現在、事前に令状を取得することなくさまざまなデータブローカーから位置データを買い取って使用することに関して、米内国歳入庁(IRS)や米国土安全保障省(DHS)をはじめとするいくつかの連邦政府機関に対して捜査を行っている。先週、国防情報局の諜報分析官が米国人の位置データを保存している商用データベースの利用権を購入したことが明らかになった。
評論家は、政府が2018年の最高裁判決の抜け穴を使っていると指摘している。その判決は、法執行機関が令状なしで携帯通信会社から直接、携帯電話の位置データを取得することを禁止するものだった。
現在、政府は、ブローカーから直接購入できるものに対して令状が必要だとは考えていないという見解を示している。
厳しいプライバシー評論家として知られるRon Wyden(ロン・ワイデン)上院議員の事務所では以前、データブローカー産業について詳しく調べ、データブローカーを取り締まって罰金を科すために連邦取引委員会に新たな権限を付与する法律を過去に草案したことがある。
ワイデン氏は「米国人は位置データがクレジットカードと一緒にデータブローカーから誰かに売られている話にうんざりしている。業界の自主規制が機能していないのは明らかだ。連邦議会は、私が提出した『Mind Your Own Business Act』のような強力な法案を通して、データの販売を防ぐのに効果がある方法を利用者に提供し、米国人のプライバシーを侵害した企業に説明責任を求める権限を連邦取引委員会に与える必要がある」と語る。
関連記事:ジャーナリスト36人以上のiPhoneが「ゼロクリック」スパイウェアにハックされていたことが発覚
画像クレジット:Bryce Durbin / TechCrunch
【原文】
Hundreds of Android apps, far more than previously disclosed, have sent granular user location data to X-Mode, a data broker known to sell location data to U.S. military contractors.
The apps include messaging apps, a free video and file converter, several dating sites, and religion and prayer apps — each accounting for tens of millions of downloads to date, according to new research.
Sean O’Brien, principal researcher at ExpressVPN Digital Security Lab, and Esther Onfroy, co-founder of the Defensive Lab Agency, found close to 200 Android apps that at some point over the past year contained X-Mode tracking code.
Some of the apps were still sending location data to X-Mode as recently as December when Apple and Google told developers to remove X-Mode from their apps or face a ban from the app stores.
But weeks after the ban took effect, one popular U.S. transit map app that had been installed hundreds of thousands of times was still downloadable from Google Play even though it was still sending location data to X-Mode.
The new research, now published, is believed to be the broadest review to date of apps that collaborate with X-Mode, one of dozens of companies in a multibillion-dollar industry that buys and sells access to the location data collected from ordinary phone apps, often for the purposes of serving targeted advertising.
But X-Mode has faced greater scrutiny for its connections to government work, amid fresh reports that U.S. intelligence bought access to commercial location data to search for Americans’ past movements without first obtaining a warrant.
X-Mode pays app developers to include its tracking code, known as a software development kit, or SDK, in exchange for collecting and handing over the user’s location data. Users opt-in to this tracking by accepting the app’s terms of use and privacy policies. But not all apps that use X-Mode disclose to their users that their location data may end up with the data broker or is sold to military contractors.
X-Mode’s ties to military contractors (and by extension the U.S. military) was first disclosed by Motherboard, which first reported that a popular prayer app with more than 98 million downloads worldwide sent granular movement data to X-Mode.
In November, Motherboard found that another previously unreported Muslim prayer app called Qibla Compass sent data to X-Mode. O’Brien’s findings corroborate that and also point to several more Muslim-focused apps as containing X-Mode. By conducting network traffic analysis, Motherboard verified that at least three of those apps did at some point send location data to X-Mode, although none of the versions currently on Google Play do so. You can read Motherboard’s full story here.
X-Mode’s chief executive Josh Anton told CNN last year that the data broker tracks 25 million devices in the U.S., and told Motherboard its SDK had been used in about 400 apps.
In a statement to TechCrunch, Anton said:
“The ban on X-Mode’s SDK has broader ecosystem implications considering X-Mode collected similar mobile app data as most advertising SDKs. Apple and Google have set the precedent that they can determine private enterprises’ ability to collect and use mobile app data even when a majority of our publishers had secondary consent for the collection and use of location data.
We’ve recently sent a letter to Apple and Google to understand how we can best resolve this issue together so that we can both continue to use location data to save lives and continue to power the tech communities’ ability to build location-based products. We believe it’s important to ensure that Apple and Google hold X-Mode to the same standard they hold upon themselves when it comes to the collection and use of location data.”
The researchers also published new endpoints that apps using X-Mode’s SDK are known to communicate with, which O’Brien said he hoped would help others discover which apps are sending — or have historically sent — users’ location data to X-Mode.
“We hope consumers can identify if they’re the target of one of these location trackers and, more importantly, demand that this spying end. We want researchers to build off of our findings in the public interest, helping to shine light on these threats to privacy, security, and rights,” said O’Brien.
TechCrunch analyzed the network traffic on about two-dozen of the most downloaded Android apps in the researchers’ findings to look for apps that were communicating with any of the known X-Mode endpoints, and confirmed that several of the apps were at some point sending location data to X-Mode.
We also used the endpoints identified by the researchers to look for other popular apps that may have communicated with X-Mode.
At least one app identified by TechCrunch slipped through Google’s app store ban.
New York Subway in Google Play., until it was removed by Google. (Image: TechCrunch)
New York Subway, a popular app for navigating the New York City subway system that has been downloaded 250,000 times, according to data provided by Sensor Tower, was still listed in Google Play as of this week. But the app, which had not been updated since the app store bans were implemented, was still sending location data to X-Mode.
As soon as the app loads, a splash screen immediately asks for the user’s consent to send data to X-Mode for ads, analytics and market research, but the app did not mention X-Mode’s government work.
Desoline, the Israel-based app maker, did not respond to multiple requests for comment, but removed references to X-Mode from its privacy policy a short while after we reached out. At the time of writing, the app has not returned to Google Play.
A Google spokesperson confirmed the company removed the app from Google Play.
Using the researchers’ list of apps, TechCrunch also found that previous versions of two highly popular apps, Moco and Video MP3 Converter, which account for more than 115 million downloads to date, are still sending user location data to X-Mode. That poses a privacy risk to users who install Android apps from outside Google Play, and those who are running older apps that are still sending data to X-Mode.
Neither app maker responded to a request for comment. Google would not say if it had removed any other apps for similar violations or what measures it would take, if any, to protect users running older app versions that are still sending location data to X-Mode.
None of the corresponding and namesake apps for Apple’s iOS that we tested appeared to communicate with X-Mode’s endpoints. When reached, Apple declined to say if it had blocked any apps after its ban went into effect.
Read more on TechCrunch NSO used real people’s location data to pitch its contact-tracing tech Dozens of journalists’ iPhones hacked with NSO ‘zero-click’ spyware Fearing coronavirus, a Michigan college is tracking its students with a flawed app Got a tip? Contact us securely with SecureDrop.
“The sensors in smartphones provide rich data that can be exploited to limit our movements, our free expression, and our autonomy,” said O’Brien. “Location spying poses a serious threat to human rights because it peers into the most sensitive aspects of our lives and who we associate with.”
The newly published research is likely to bring fresh scrutiny to how ordinary smartphone apps are harvesting and selling vast amounts of personal data on millions of Americans, often without the user’s explicit consent.
Several federal agencies, including the Internal Revenue Service and Homeland Security, are under investigation by government watchdogs for buying and using location data from various data brokers without first obtaining a warrant. Last week it emerged that intelligence analysts at the Defense Intelligence Agency buy access to commercial databases of Americans’ location data.
Critics say the government is exploiting a loophole in a 2018 Supreme Court ruling, which stopped law enforcement from obtaining cell phone location data directly from the cell carriers without a warrant.
Now the government says it doesn’t believe it needs a warrant for what it can buy directly from brokers.
Sen. Ron Wyden, a vocal privacy critic whose office has been investigating the data broker industry, previously drafted legislation that would grant the Federal Trade Commission new powers to regulate and fine data brokers.
“Americans are sick of learning that their location data is being sold by data brokers to anyone with a credit card. Industry self-regulation clearly isn’t working — Congress needs to pass tough legislation, like my Mind Your Own Business Act, to give consumers effective tools to prevent their data being sold and to give the FTC the power to hold companies accountable when they violate Americans’ privacy,” said Wyden.
Send tips securely over Signal and WhatsApp to +1 646-755-8849. You can also send files or documents with SecureDrop.
(文:Zack Whittaker、翻訳:Dragonfly)
