2 つの異なるレポートによると、アプリ内広告とプッシュ通知の両方が iPhone ユーザーを識別し、監視するために使用されているという。

1 つ目は、アプリ内広告が iPhone を識別し、機密性の高いデータをセキュリティ サービスに送信する目的でデータを収集するために使用されていると述べており、2 つ目は、Facebook や TikTok などのアプリが iOS によるプッシュ通知の処理方法の脆弱性を利用して、独自の使用のためにデータを取得していることを発見しました...

デバイスフィンガープリンティングの問題

Apple がルールを変更し、アプリがユーザーを追跡する前に許可を求めるようにすると、企業はすぐに同じことを実現する裏技、つまりデバイス フィンガープリンティングの開発に取り組み始めました。

App Tracking Transparencyがリリースされる前から、私たちはこの問題に注目してきました。2020年には、広告主が回避策を開発していることをすでに警告していました。

結局のところ、Appleの最新のプライバシー対策は大きな違いを生まないだろう。広告主が私たちを追跡する新しい方法はすでに存在し、Appleがそれに対してできることはほとんどない。それはデバイスフィンガープリンティングである[…]

ウェブサイトにアクセスするたびに、ブラウザはデバイス上でサイトが正しく表示されるようにするために、大量のデータを渡します。例えば、ウェブサイトはiMacとiPhoneでは大きく異なる表示をする必要があります。

時が経ち、ウェブサイトがより洗練されるにつれ、ブラウザが渡すデータの量も増加しました。ウェブサイトが  利用可能なすべてのデータを分析すると、状況は非常に迅速に、そして非常に具体的なものになります。

デバイスフィンガープリンティングの目的は、個々のデバイスを識別し、デバイスフィンガープリントを割り当てることです。これは、IDFAと全く同じ方法でユーザーを追跡するために使用できます。

デバイスを一意に識別できるかどうかを確認するためにアクセスできるサイトを紹介しました。

404 MediaはPatternzについて報道し、同サイトはこれを「数十億人を監視する世界的な電話スパイツール」と表現している。

404 Mediaの調査によると、9gag、Kik、一連の発信者IDアプリなどの人気アプリを含む何十万もの通常のアプリは、各アプリ内の広告から始まり、最終的には国家安全保障機関に宣伝される強力な大量監視ツールにアプリのユーザーが巻き込まれ、人々の物理的な場所、趣味、家族構成を追跡して数十億のプロファイルを作成する世界的な監視機能の一部となっている。

Patternz は、怪しい行為をいとわず、デバイスの指紋を収集し、それを使って監視を開始する、小規模な広告ネットワークと契約を結んでいる。

挙げられた例は Android ユーザーに関するものでしたが、同じ戦術が何万もの iPhone アプリにも適用できます。

トン氏は、このプラットフォームが「国土安全保障プラットフォーム」として構築されたことを認めている。オンライン上の他のマーケティング資料では、Patternzは特に「国家安全保障機関」を対象としていると謳っている。

動画の中で、トンは特定のプロフィールをクリックする。次の画面には、その特定のデバイス、ひいては人物に関する豊富な情報が表示される。そこには、その人物に関連するGPS座標の長いリストが含まれており、トンによると、位置精度は1メートル単位になることもあるという。また、それらの座標に対応する住所、自宅や職場の住所（このターゲットの場合、近くの病院だとトンは言う）、その人物が頻繁に訪れる場所（この場合は「Caller ID & Block by CallApp」と「Truecall – Caller ID & Block」）、携帯電話のブランドとOS（Android 9搭載のSamsung）、そしてターゲットが自宅や職場にいた際に隣にいた他のユーザーのリストも表示される。

これは、リアルタイム入札と呼ばれるオンラインおよびアプリ内広告ツールを悪用することで実現されます。この仕組みの背後にあるのは、例えば米国で自動車に興味のあるiPhone 15ユーザーに商品を販売したいウィジェットメーカーであれば、同じオーディエンスを狙う他の広告主と競争できるという点です。入札プロセスによって、ターゲットオーディエンスに一致するユーザーがどれだけいるかが明らかになります。

問題は、セキュリティサービスが広告入札者を装い、非常に具体的なターゲット基準（特定の個人を特定できるほど具体的）を設定し、その人に関する膨大な量の機密データを入手できることです。

調査では、61,894本のiOSアプリが、ユーザーが知らないうちにこのような形で利用されていることが判明しました。ここで悪役となっているのは、アプリ開発者ではなく、Patternzの背後にある企業です。

iPhoneのプッシュ通知がスパイツールとして利用されている

セキュリティ研究者のMysk氏は、iPhoneのプッシュ通知も同様の方法で悪用されていることを発見した。

iOS では、バックグラウンド アプリがプッシュ通知を送信する方法が提供されています。

仕組みは次のとおりです。アプリがプッシュ通知を受信すると、iOS はバックグラウンドでアプリを起動し、ユーザーに通知を表示する前に、アプリが通知をカスタマイズするための時間を一定時間与えます。これは、通知ペイロードの復号化や、iOS がユーザーに通知を表示する前に通知をさらに充実させるための追加コンテンツのダウンロードなど、通知に関連するタスクをアプリが実行するのに非常に役立ちます。アプリが通知のカスタマイズを完了すると、iOS はすぐにアプリを終了します。

しかし、Mysk 氏は、多くのアプリがこの権限を悪用して iPhone の指紋を取得していると述べている。

しかし、多くのアプリはこの機能を悪用し、バックグラウンドで静かに動作しながら詳細なデバイス情報を送信しています。これには、システムの起動時間、ロケール、キーボード言語、使用可能なメモリ、バッテリー残量、デバイスモデル、ディスプレイの明るさなどが含まれます。こうした信号は、異なる開発者が開発した異なるアプリ間でのフィンガープリンティングやユーザー追跡に広く利用されています。iOSおよびiPadOSでは、フィンガープリンティングは厳しく禁止されています。

この場合、犯人は開発者です。その証拠は下のビデオでご覧いただけます。

GoogleとAppleの反応

Googleは、広告をフィンガープリンティングツールとして使用している企業との関係を終了したと発表し、一方Appleはプッシュ通知の悪用に対する新たな保護策を導入する計画がある。

2024 年春より、Apple は開発者に対し、フィンガープリンティングによく使用されるものなど、固有のデバイス信号を返す API を使用する理由を宣言することを義務付けます。

Unsplash の Dmitry Ratushny による写真

havebin.com を Google ニュース フィードに追加します。