読者です 読者をやめる 読者になる 読者になる

世界のことを知りたい

読書習慣を付けたい。…マンガも本だよね?…バナナはおやつだよね?

スマートフォンのアプリの権限要求ってもう少し安全にならないの? 権限を一時的に許可することはできない?

Web・インターネット スマートフォン・タブレット

私は Android の端末を使っています。たまに話題のゲームでもやってみようかなと思うのですが、大抵インストールで躊躇します。要求される権限が多すぎて怖いからです。

たとえば mixi 社の「モンスターストライク」。

f:id:arityk:20160104171908j:plain

バージョン 5.0.1 のアクセス先: アプリ内購入 ID
  • この端末上のアカウントの検索
連絡先
  • 連絡先の読み取り
位置情報
  • 正確な位置情報(GPS とネットワーク基地局)
  • おおよその位置情報(ネットワーク基地局)
画像/メディア/ファイル
  • USB ストレージのコンテンツの読み取り
  • USB ストレージのコンテンツの変更または削除
マイク
  • 録音
Wi-Fi 接続情報
  • Wi-Fi 接続の表示
端末 ID と通話情報
  • 端末のステータスと ID の読み取り
その他
  • インターネットからデータを受信する
  • ネットワークへのフルアクセス
  • 端末のスリープの無効化
  • ネットワーク接続の表示
  • Wi-Fi からの接続と切断
  • Wi-Fi マルチキャストの受信を許可する
  • 音声設定の変更
  • 起動時の実行
  • バイブレーションの制御

こ、これは…。mixi 社はたくさんのデータが欲しいのですね。Google のアカウント、連絡帳、正確な位置情報、ストレージのファイル群などなど…。「何でその権限が必要なの?」と言いたくなるものばかりです。

要求される権限の中で、読んで意味の分からないのは「端末のステータスと ID の読み取り」。これは検索してみるとこう書かれています。

絶対に確認したい「アクセス許可」の項目と具体的な対策とは…!? 【Androidスマートフォン セキュリティ対策-第3回-】

●電話/通話
【端末のステータスと ID の読み取り】


許可すると端末の電話番号やシリアル番号、Gmailのアドレスなどが特定できる状態に。高額な架空請求を行うアダルト動画アプリの事件でも、この項目が悪用された。マルウェアにこのような情報を悪用された場合、「電話番号やメールアドレスを変えるしか手がない」(山城氏)という。

「端末のステータス」は通話中かどうかの判断にも使われて比較的安全な権限要求かと思いますが、同時に「ID の読み取り」があり、併せるとこの権限では電話番号や端末のシリアル番号、さらに Gmail のアドレスまでアプリケーションが取得できるようです。Google の説明は下の通りです。

端末の電話機能へのアクセスをアプリに許可します。これにより、電話番号、端末ID、通話中かどうか、通話相手の電話番号をアプリから特定できるようになります。

Google の説明の方が信頼できると思われます。Gmail のアドレスはどうやって取得するのでしょう? しかし通話相手にも迷惑が掛かるというのは困りますね。

「マイク」の権限については、「モンスターストライク」の場合、ゲームの録画の際に使われるようです。しかし、権限を与えるということは、最悪の場合ではアプリケーションが好きなときに音声を録音し、収集できます。スパイに使われる機能です。

mixi 社は安全ですよと言うと思いますが、ユーザー側は不安でたまりません。このゲームのプレイ時の調査にマイクを使えるし、今後は声から人物を特定しようと思えばできる時代に入るでしょう。

権限が必要なときに一時的に許可することはできないの?

アプリケーションのインストール時にいろいろと権限を要求するのを止め、アプリケーションがその権限を必要なときにポップアップなどで権限を要求するようにはできないのでしょうか? こちらの方が安心です。

たとえば「モンスターストライク」をインストールする際には特に権限を求められず、「モンスターストライク」がマイクを使いたいと思ったときにユーザーに許可を伺う。インターネットからデータを受信したいときには、インターネットを使っても良いですかと許可を求める。これならより安心です。

「電話番号を知りたいのですが?」「マイクで録音して良いですか?」「連絡帳を読み取らせてください」「カメラで映像を撮っても良いですか?」「メールアドレスを教えてください」。この表現だと十分危なそうに見えます。

アクセス権限をアプリごとに管理するのは?

ストレージのアクセスもちょっと怖いので、アプリケーションごとにファイルへのアクセス権限を管理できないでしょうか。とあるアプリにストレージを使わせてあげるけれど、そのアプリに割り当てられた場所以外のディレクトリにはアクセスできない、というような状況は良さそうです。

もう少し経つと権限についての理解が広まるのかも

スマートフォンは登場してからあまり時間が経っていないので、まだ危なさが理解されていないように思います。パソコンを使っている人ならある程度はセキュリティに対する知識があると思いますが、若い世代もスマートフォンを持つようになり、セキュリティに知識がない人もスマートフォンを使っています。今がチャンスとばかり個人情報を収集するアプリばかりです。

ゲームのアプリは格好の餌で、プレイしたい人も多いだろうし、有名なゲームほど安全だと思ってしまいます。あと SNS 関連。インストールしなければ誰かと連絡が取れなくなってしまうような、ある程度の強制力を感じるようなアプリは多少無茶な権限を要求してもユーザーは許可してしまうでしょう。

日本は何か事件が起きないと改善されない国なので、もう少し権限について理解が広まるには何かの事件が必要なのかもしれません。

Google Play にあるゲームが要求する権限を見ているとあくどさを感じてしまいます。私はゲームをプレイしたくてたまらないという欲求はないのでインストールしなくてもいいかと思えるのですが、小中学生などはよく分からないままインストールしてしまうでしょう。

マインクラフト」など、海外で有名なゲームはさすがに権限に気を遣っています。アメリカ政府による PRISM が問題になりましたし、アメリカ人などは個人情報の取り扱いに日本よりうるさいでしょう。

f:id:arityk:20160104172016j:plain

アプリ内の広告も権限の要求を増やしている

Google Play で人気のゲームをいくつか見たところ、日本のゲームで比較的クリーンなのは「ドラゴンクエスト どこでもモンスターパレード」ですね。要求される権限が少ないです。

f:id:arityk:20160104172023j:plain

私はこのゲームをプレイしていないので分かりませんが、ゲーム内に広告がないのではないでしょうか。広告がなければ要求される権限が少なくなり、安心感があります。そういう意味では無料で広告がついているものより、有料アプリの方が安全なのかもしれませんね。

ただ SQUARE ENIX のゲームはプレイ時に SQUARE ENIX のアカウントが必要になるのかもしれません。そうするとアカウント登録でユーザーに個人情報を入力させるわけで、情報を収集する必要がないのかも。

アプリ内の広告はユーザーをトラッキング・ターゲッティングするために、端末のシリアル番号などの情報が欲しいようです。そのせいでアプリ内に広告を表示させているアプリのインストール時に、アプリケーションの実行には不必要な権限が追加されて要求されてしまうものもあるようです。

早くもっと安全にして欲しい

携帯電話端末には個人情報がたくさん詰まっています。もう少し安全に使えるようにしてもらいたいところです。Android 端末のアプリケーションストアである Google Play はもちろん Google が管理しているので、もう少し何とかできそうなものですが…。

Android の次期バージョン "Android M" ではアプリケーションごとの権限管理ができるという話もあります。期待したいところです。