TechCrunchが本日発表した新たな調査によると、一部のiPhoneアプリが「顧客体験分析会社」であるGlassboxなどのサービスを利用して、ユーザーのタップやスワイプを追跡していることが明らかになりました。Hollister、Air Canada、Expedia、Hotels.comなどのアプリがこのフレームワークを使用しており、場合によっては機密情報を意図せず漏洩してしまう可能性があります。
Glassboxは、「セッションリプレイ技術」を採用しているいわゆる分析企業の一つです。これにより、開発者は画面を録画し、ユーザーがアプリをどのように操作したかを検証できます。「すべてのタップ、ボタンの押下、キーボード入力が記録されます」とTechCrunchは述べています。
これらのセッションリプレイにより、アプリ開発者は画面を録画して再生し、ユーザーがアプリをどのように操作したかを把握することで、何か問題やエラーが発生していないかを確認できます。すべてのタップ、ボタンの押下、キーボード入力が記録(実質的にはスクリーンショット)され、アプリ開発者に送信されます。
最近のツイートで、Glassbox はこう述べています。「Web サイトやモバイル アプリで、顧客がリアルタイムで何をしているか、そしてなぜそうしたのかを正確に把握できたらどうなるでしょうか?」
さらに、The App Analystは最近、エア・カナダのiPhoneアプリがセッションリプレイを適切にマスクしていないことを発見しました。これは、パスポート番号やクレジットカード情報などの機密情報がエア・カナダの従業員に容易に閲覧可能になることを意味します。すべてのアプリに当てはまるわけではありませんが、エア・カナダは最近、2万件のユーザープロファイルに影響するデータ侵害に見舞われており、同社のセキュリティ対策にとって好ましい兆候とは言えません。
アプリによってはセッションリプレイデータをGlassboxサーバーに直接送信するケースもあれば、自社サーバーに送信するケースもあります。どちらのケースでも、一部のデータはマスク解除されており、中間者攻撃ツールで簡単にアクセス可能であることが判明しました。
App Analystによると、ホリスターとアバクロンビー&フィッチはセッションリプレイをGlassboxに送信しているのに対し、ExpediaやHotels.comなどはセッションリプレイデータを取得し、自社ドメインのサーバーに送り返しているという。同氏によると、データは「大部分が難読化」されているものの、メールアドレスや郵便番号が含まれているケースもあったという。また、シンガポール航空もセッションリプレイデータを収集していたが、Glassboxのクラウドに送り返していたという。
TechCrunchは、エア・カナダ、ホリスター、エクスペディア、アバクロンビー&フィッチ、Hotels.com、シンガポール航空などのアプリを違反行為として指摘しています。これらのアプリはいずれもプライバシーポリシーでセッションリプレイ技術の使用について言及しておらず、詳細を尋ねられた際にはアバクロンビー&フィッチのみが回答しました。アバクロンビーは、Glassboxの導入は「シームレスなショッピング体験をサポートし、お客様がデジタル体験で遭遇する可能性のあるあらゆる問題を特定し、対処するのに役立ちます」と述べています。
iOSにおける画面録画分析フレームワークの利用は、必ずしも目新しいものではありません。開発者は、これらのフレームワークを利用することで、OS全体ではなく、アプリ内のデータのみを分析できます。Appleはまだこうしたフレームワークの利用を厳しく取り締まっていないものの、近いうちに規制が施行されても不思議ではありません。
TechCrunchによる完全な調査はここから読むことができます。
yosjwsd.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
