Air Canada、Hollister、Expedia など多くの大手企業は、iOSアプリでタップやスワイプなどユーザーが操作するiPhoneの動作を記録しており、ほとんどの場合ユーザーはそのことを知ることもできず、そしてそれら企業は許可を得ずに行っている。そんな恐ろしい現状をTechCrunchが伝えています。

ほとんどのアプリがユーザーに関するデータを収集していると考えられ、知らぬ間にデータをお金に換える人もいます。
記事によれば、ホテル、旅行サイト、航空会社、携帯電話会社、銀行など、人気のあるiPhoneアプリでそのような情報収集が行われていることがTechCrunchによって確認されています。

さらに悪いことに、これらのアプリはプライバシーの観点から特定のフィールドを隠して使うことが前提ですが、誤って本来隠すべきデータが見えたままになっている場合もあります。

Abercrombie＆Fitch、Hotels.com、Singapore Airlinesなどがリリースするアプリでも、開発者が「セッションリプレイ」技術をアプリに組み込むことができるGlassbox社のツールを使用しているそうです。

「セッションリプレイ」を使うことで、アプリ開発者はユーザーのデバイスの画面を記録し、ユーザーがアプリをどのように使ったか、あるいは機能しなかったか、またはエラーが発生したかを確認できます。すべてのタップ、ボタンプッシュ、キーボード入力はスクリーンショットを撮影することで記録され、アプリ開発者側に送信されます。

Glassboxは最近「あなたのウェブサイトやモバイルアプリで、顧客がリアルタイムでしていることを正確に見ることができるかどうか、なぜ彼らはそれをしたのか想像してみてください。これはもはや仮定上の問題ではなく、本当の可能性です。これがGlassboxです。あなた自身でそれを体験してください。」とツイートしました。Glassboxがどんなことをするツールなのか、この言動だけでも明確にわかると思います。

モバイルアプリの分析を専門とするThe App Analystは、最近、Air CanadaのiPhoneアプリ がGlassboxを使用していることを発見しました。しかも「セッションリプレイ」を適切に設定していないようで、本来はマスクされるべきパスポート番号やクレジットカード情報などが丸見えのままでスクリーンショットを撮られてしまっています。

「これにより、Air Canadaの従業員やスクリーンショットデータベースにアクセスできる他のすべての人間は、暗号化されていないクレジットカードとパスワードの情報を見ることが可能だ」とThe App AnalystはTechCrunchに話しました。

記事によれば、各アプリのデータを分析しなければ、アプリがユーザーの画面を記録しているかどうかを知ることは不可能です。TechCrunchによれば、それら企業のアプリのプライバシーポリシーの細かな文章の中にも関連する記述を見つけられなかったそうです。

AppleのApp Storeにて配布されるアプリはプライバシーポリシーが必須となっていますが、TechCrunchの調査したいずれのアプリでも、ユーザーの画面を記録することをポリシーで明確にしていないそうです。Glassboxは、Appleやユーザーからの特別な許可を必要としないため、ユーザーが知ることはできないそうなのです。

TechCrunchがGlassboxを使う各企業にコメントを求めたところ、Air Canadaからのみ「顧客から提供された情報を、旅行のニーズをサポートし、旅行に影響を与える可能性のある問題を解決するために使用する」と回答があったそうです。

ユーザーはどうやって身を守るべきなのでしょうか。
The App Analystは次のように指摘しています。「ユーザーが自分のデータを共有する方法に積極的な役割を果たす必要がある。最初のステップは、ユーザーデータの収集方法とその共有先を共有することだ。」

Glassboxは、入力画面でマスクされた箇所にはアクセスすることはできないとしています。しかしながら、上でみたように、適切にマスクされていないケースが実際にあるわけです。

Glassboxは、市場に出回っている多くのセッションリプレイサービスの1つです。AppseeやUXCamなど、他にも似たようなツールが複数存在しています。

via GIGAZINE

【追記】Appleはこの問題について迅速に声明を発表し、開発者に対して記録ツールの使用をユーザーに開示するか、ツールの使用をやめるかを通達しました。詳細は新しい記事へ。