人気のAndroidアプリ30種類を抽出してモニタリングを行った結果、その半数がユーザーの許可なしに端末や個人を識別できるデータをインターネット上のサーバに送信しているなど、セキュリティ上のリスクを抱えている可能性が指摘されている。
これは米デューク大学、米ペンシルバニア州立大学、Intel Labsが共同で行った調査結果で、調査方法の詳細を記した論文が公開されている(PDFファイル)ほか、10月6日にカナダのバンクーバーで開催されるOSDI(Operating Systems Design and Implementation)のUSENIX Symposiumにおいて、ペンシルバニア州立大学のWilliam Enck氏が講演を行う予定になっている。
調査方法はAndroid Marketなどでカテゴリ別ランキング上位に登場する人気アプリ30種類を抽出し、「TaintDroid」と呼ばれるモニタリングアプリを仕込んだ状態で動作状況を観察するというもの。TaintDroidがどのように動作するかは下記のYouTubeビデオを見るとわかるが、各種データの取得や外部への送信を試みるアプリの挙動を監視し、実際にこうしたアクションを行った場合に「Notification」の部分にその警告と、送受信されたデータの一覧を表示させるものとなっている(「Taint」とは「痕跡」などを表す言葉)。開発したデューク大学のPeter Gilbert氏によれば、TaintDroidの動作上のオーバーヘッドはCPUパワーの14%程度であり、ある程度定期的なモニタリングが可能だという。また一般への配布も検討しているということだ。
動画の例では、Nexus One上でTaintDroidをバックグラウンド動作させ、壁紙アプリの1つを実行している。すると、壁紙アプリを終了させた段階で「電話番号」「IMEI(端末固有の識別番号)」「ICCID(SIMカードの識別番号)」の3つのデータが「imnet.us」というサーバに送信されていたことが、TaintDroidの警告メッセージで判明する。このドメインのサーバは、中国の深センにあるようだ。
またそのほかの例としては、GPSデータの送信がある。通常であれば、Google MapsやFoursquareといった位置データが重要となるサービスでの利用であったり、広告サーバとの連動で位置情報に関連した広告を表示させるなど、多くのユーザーが目に見える納得のいく形での利用となっている。だが中にはアプリ終了後もその動作をバックグラウンドで続けており、約30秒ごとに位置情報を送信し続けているものも存在するなど、本来の正しい使い方からは逸脱したものもあるという。
もっとも、広告ネットワークでの活用のため、こうしたデータのバックグラウンドでの利用はPC時代から大なり小なり存在するのだが、ユーザーの意図しない部分でのデータ悪用も多いとみられ、今後より調査が必要なのかもしれない。