以下の文章は、コリイ・ドクトロウの「Daycare apps are insecure surveillance dumpster-fires」という記事を翻訳したものである。


EFFの同僚、アレクシス・ハンコックは、赤ちゃんを保育園に預けた際、保育管理アプリをダウンロードしてくれと言われたらしい。「授乳、おむつ交換、写真、活動、送り迎え」を管理・指定するために必要なのだそうだ(訳注:日本語訳記事)。

https://www.eff.org/deeplinks/2022/06/daycare-apps-are-dangerously-insecure

ロックダウン中ということもあって、アプリはソーシャルディスタンスと接触確認(contact tracing)ルールを遵守するためでもあったし、「通い始めた子供とその不安な両親の分離不安」を解消するためでもあった。

こうした経験はアレクシスだけではなく、他の子育て中のEFFスタッフも同様だった。デジタルプライバシーとセキュリティの専門家たる彼女たちは、これらアプリの分析を開始し、開発企業との対話を始めた。その結果、ひどいセキュリティ・プラクティス、さらにひどいプライバシー・プラクティス、そして小さな子供とその親のデジタル・ウェルビーイングへのまったくの無関心という悪夢を発見した。

まず、アカウントのセキュリティに問題があった。アレクシスたちがアプリを調べ始めると、どのアプリも致命的な欠点を抱えていた。「セキュリティを向上させる最も簡単な方法の1つ」のはずの二要素認証(2FA)が実装されていなかったのだ。

彼らは大手保育アプリベンダーのBrightwheelにコンタクトを取った。その後、Brightwheelは2FAの導入を大々的に発表した。そして、Brightwheelは2FAをサポートする唯一の育児アプリとなった。信じられないかもしれないが、本当に「唯一」である。アレクシスがWiredに書いているように、まったく「デタラメ(bullshit)」だ。

https://www.wired.com/story/daycare-app-privacy-security/

アプリに2FAが導入されているかはわかりやすい。だが、アプリのセキュリティ全体となると、より洗練された検証が必要になる。そこでEFFは育児アプリの静的解析・ネットワーク解析に取り掛かった。すると、いくつかの不穏な結果が見出された。

たとえば、AndroidアプリのTadpolesは、FacebookのグラフAPIに膨大なデータを漏らし、Branch.ioに極めて詳細なデバイス情報を流していた(Tadpolesのプライバシーポリシーには両社とも記載されていない)。

また、ユーザデータをAmazonクラウドに保存しているというHiMamaは、そのプラクティスを「政府の機密アプリの実行に適しており、300以上の米国政府機関や海軍、財務省、NASAで使用されています」というミスリードな謳い文句を仕立てている(いずれもHiMamaが使用するようなAmazonクラウドではなく、完全に別製品のAWS Govcloud上で実行されている)。

どのデータが収集され、どのように使用されるのかについての情報開示にも業界全体でギャップが有り、開示されていてもほとんどがミスリードだったり不完全だったりする。

さらにどうしようもないのが、どの会社も問題に無関心なことだ。2022年にPrivacy Enhancing Technologies Symposiumで発表された査読論文「おむつ交換の回数を共有する場合があります:モバイル保育アプリのプライバシーおよびセキュリティ分析」では、これらの問題をこれでもかとばかりに詳細に説明している。

https://www.researchgate.net/publication/358904572_We_may_share_the_number_of_diaper_changes_A_Privacy_and_Security_Analysis_of_Mobile_Child_Care_Applications

ハンコックはEFFの記事で、育児アプリ業界に一連の提言をしている。

  • すべての管理者・スタッフに2FAを導入する
  • モバイルアプリの既知のセキュリティ脆弱性に対処する
  • トラッカーやアナリティクスおよびその使用法について開示・列挙する
  • 書き換え不能なクラウドサーバイメージを使用し、サーバ上の古い技術を継続的にアップデートするプロセスを導入する
  • 子供のビデオや写真を保存するパブリッククラウドバケットをロックダウンする

彼女はさらに、「保育所と保護者間のコミュニケーションをサービス自身が閲覧する必要性はない」として、保育所と保護者間のエンドツーエンド暗号化の実装を強く推奨した。

皮肉なことに、これは「キュレーティッド・コンピューティング」として売り込まれたアプリの文脈で起こっているのである。ソフトウェアの作者からコードを直接提供してもらうという従来の習慣を改め、その代わりにAppleとGoogleに実行してもよいコードを決めてもらえば、ソフトウェアにはびこるあらゆる悪は消え失せるだろう、と我々は約束されていたはずだった。

https://boingboing.net/2010/04/02/why-i-wont-buy-an-ipad-and-thi.html

だが、我々が使うアプリには最悪なコードが混じっている。それが現実である。たとえばムスリム向けの祈祷アプリが、ユーザデータを収集してICEを始めとする国内スパイ機関に販売していたように。

https://www.latimes.com/business/technology/story/2020-11-23/muslim-pro-data-location-sales-military-contractors

ユーザの性生活、生殖能力データ、位置情報などのセンシティブな情報を収集する生理管理アプリは、中絶者を見つけて賞金を稼ぎたい強制出産論者には金脈に見えるだろう。

https://web.archive.org/web/20190909221027/https://www.privacyinternational.org/long-read/3196/no-bodys-business-mine-how-menstruation-apps-are-sharing-your-data

なぜアプリはこれほどの大惨事を引き起こし続けるのか。ひとつには、アプリ開発者がアプリストアの厳しい仕様に則ってアプリを作成しなければならない、ということがある。だが、その負担ゆえに、アプリメーカーは密かにユーザデータを収集するプライバシー侵害的なソフトウェア開発キットを使用するようになってしまった。

アプリは独立したソフトウェアとしてではなく、「アプリストア」から提供されるため、アプリベンダーは悪意ある振る舞いをするコードに「アップデート」できる一方で、ユーザは以前の問題のなかったバージョンに「ダウングレード」できない。以前に、Audacityを買収した企業が愚かにもトラッキング(追跡)機能の追加計画を発表すると、ユーザたちは絶対にアップデートしないと表明することで反発した。そして、計画は撤回された。

https://hackaday.com/2021/07/23/new-privacy-policy-gets-audacity-back-on-track/

アプリであればそうはいかない。数年前、Bluetoothの優先順位を指定するために使っていたちょっとしたアプリ(子供部屋の前を通ったときに、スマートフォンが子供のスピーカーに接続しないようにするため)がアップデートされ、デバイスのロックを解除するたびに広告をポップアップする侵入型アドウェアが追加されてしまった。アプリがポップアップの原因であることがわかったので、アンインストールすることにしたのだが、アプリストアからインストールしていたために、アドウェアが追加される以前のバージョンにロールバックすることはできなかった。

育児アプリの不適切なデータの取扱いが発覚したわけだが、残念ながらまったく驚きはない。エリザベス・ウォーレン、コリイ・ブッカー、ロン・ワイデンがBetterhelpやTalkspaceなどのメンタルヘルスアプリを問題視したのとまさに同じ悪習なのだから。

https://www.theverge.com/2022/6/23/23179866/elizabeth-warren-betterhelp-talkspace-therapy-pandemic-app-philip-defranco

プライバシーを侵害するインセキュアなメンタルヘルスアプリと、プライバシーを侵害するインセキュアな、幼児の遊戯・睡眠・居場所・おむつ交換追跡アプリとでは、どちらがより不愉快なのかは人によるのだろう。

だが、どちらも許容できるものではない。

こうした実態は、どのアプリをどのように実行するかについて、消費者に強い発言権を与えるよう巨大テック企業に義務づける法律・規制の必要性を補強するものである。ビッグテックは、ソフトウェア開発者とデバイス所有者が直接やりとりできるようにしてしまえば、一般のユーザがプライバシーやセキュリティの悪習にさらされることになると主張し、あらゆる証拠を無視して「モバイル」イコール「セキュア」なのだと訴えている。

この混乱から抜け出すにはどうしたらよいか。実に興味深い方法が提案されている。それは、モバイルプラットフォームにウェブアプリを完全にサポートするよう義務づけること、あるいは少なくとも、ウェブアプリを完全に機能させるためのモバイルツール開発者を邪魔させないことだ。

https://www.eff.org/deeplinks/2022/06/facebook-says-apple-too-powerful-theyre-right

ウェブアプリはその名の通り、ブラウザに配信され、その中で実行されるアプリだ。ウェブアプリの体験は、アプリストアのアプリをインストールするのとほとんど変わらないはずである(だが、現実にはそうなっていない)。アプリを選択し、インストールをクリックし、許可を与えるか拒否するかを選び、ホーム画面にアイコンを表示させる。

https://open-web-advocacy.org/

だが、ブラウザ上で動作するウェブアプリは、ブラウザのプラグイン(たとえば広告ブロッカーやトラッカーブロッカー)を使って(訳注:ユーザの好みに応じた)修正が可能だ。また、ウェブアプリはアプリ開発者の競合製品を所有する独占企業の命令ではなく、オープンスタンダードで定義されているため、誰でもウェブアプリ開発ツールキットを作ることができる。

https://www.w3.org/standards/webdesign/

もちろん、通常のソフトウェアもユーザをスパイしたり、データを盗み出すことはできてしまう。だが、「プログラム」を「アプリ」に変えたところで、その問題は解決されなかった。むしろ、ユーザの自衛能力を制限し、ユーザにふさわしい保護のあり方をたった2つの企業に委ねることになっただけだった。

Pluralistic: 23 Jun 2022 – Pluralistic: Daily links from Cory Doctorow

Author: Cory Doctorow / Pluralistic (CC BY 4.0)
Publication Date: June 23, 2022
Translation: heatwave_p2p
Header image: marianne bos