ヤンデックス、iOSユーザー数百万人のデータをロシアに送信c

本日の報道によると、「ロシア版Google」ことYandexが、iOSアプリユ​​ーザー数百万人から収集したデータをロシアに送信しているという。同社のアプリを使用しているかどうかは関係ない。ロシアの法律により、Yandexはロシア政府にデータを提供せざるを得ない可能性がある。

Yandexが開発した開発ツールを利用する幅広いサードパーティ製アプリから、ユーザーのデータが取得される可能性があります。開発者はYandex API AppMetricaを使用してアプリの分析データを取得することで時間と費用を節約し、その見返りとしてYandexはユーザーデータを取得します…

フィナンシャル・タイムズ紙は、セキュリティ研究者がロシアにデータを送信するコードを発見し、独自にその主張を検証したと伝えている。

ロシア最大のインターネット企業が、モバイル端末のアプリにコードを埋め込み、数百万人のユーザー情報を自国にあるサーバーに送信できるようにした。[…]

研究者のザック・エドワーズ氏は、非営利団体Me2Bアライアンスのアプリ監査キャンペーンの一環として、Yandexのコードに関する最初の発見をしました。エドワーズ氏の研究を検証するため、4人の独立した専門家がフィナンシャル・タイムズのためにテストを実施しました。

Yandexはデータを収集し、ロシアのサーバーに送信していることを認めているものの、収集した情報から「ユーザーを特定することは極めて困難」であると主張している。しかし、専門家はこれに異議を唱えている。

かつてアップルのグローバルセキュリティ担当主任ソフトウェアエンジニアを務めていたシェール・スカーレット氏は、ロシアのサーバーでユーザー情報が収集された場合、ヤンデックスは現地法に基づき政府に提出する義務を負う可能性があると述べた。他の専門家は、ヤンデックスが収集したメタデータはユーザー識別に利用される可能性があると指摘している。

セキュリティとプライバシーへの影響は甚大になる可能性があります。

AppMetricaがインストールされているアプリには、ゲーム、メッセージングアプリ、位置情報共有ツール、そして追跡されずにウェブを閲覧できるように設計された数百の仮想プライベートネットワーク（VPN）ツールが含まれています。VPNのうち7つは、ウクライナのユーザー向けに特別に開発されています。アプリ情報グループAppfiguresによると、AppMetrica SDKを含むアプリの総インストール数は数億に上ります。

AppleのApp Tracking Transparency（アプリ追跡の透明性）プライバシー要件を回避しようとする試みから、一見無害に見える膨大な量のデータがデジタル署名に統合され、個々のデバイスに紐付けられる可能性があることは既に明らかになっています。ウェブサイトで使用されているのと同じ手法が、アプリAPIでも利用可能です。

写真：ThisisEngineering RAEng/Unsplash

ciniw.com を Google ニュース フィードに追加します。