iPhoneの加速度計を使ってアプリがユーザーの活動・心拍数・位置・音声データなどを収集できるとの指摘

GIGAZINE



高機能なスマートフォンやスマートウォッチにはデバイスの傾きや加速度を検知する加速度計が搭載されており、歩数計や転倒検出機能などに応用されています。ところが、加速度計で収集できる情報は人々が想像している以上に広い上に、iOSアプリはiPhoneやApple Watchの加速度計が収集したデータにユーザーの許可なくアクセス可能だとして、セキュリティ研究者のTommy Mysk氏が警鐘を鳴らしています。

iPhone Apps Can Tell Many Things About You Through the Accelerometer | Mysk
https://www.mysk.blog/2021/10/24/accelerometer-ios/

iPhoneにはモーションデータを検出するための加速度計とジャイロスコープが搭載されており、Mysk氏は便宜的にこれらのセンサーをまとめて「加速度計」と呼んでいます。加速度計のデータを利用するアプリはたくさんあるものの、ユーザーは「このアプリは加速度計のデータを収集している」と意識することはほとんどありません。これは、アプリが位置情報データやBluetooth、カメラなどへアクセスする際にはユーザーの明示的な同意が必要な一方、加速度計のデータへのアクセスは明示的な許可が必要とされないためです。

アプリが加速度計のデータにアクセスできるのはフォアグラウンドでアクティブになっている場合のみで、バックグラウンドで動作しているアプリはデータにアクセスできません。しかしMysk氏は、アプリが加速度計のデータから収集できる個人情報は多岐にわたり、ユーザープライバシーを脅かす可能性があると指摘しています。


Mysk氏が指摘する「加速度計を通じたデータ収集の考え得るシナリオ」は以下の通り。

◆運動と活動
加速度計のデータはスマートフォンの持ち方や動き方を反映しているため、アプリを使用中のユーザーが横になっているのか、座っているのか、歩いているのか、サイクリングしているのかといった情報を知ることができます。また、iPhoneはアプリが歩数計にアクセスすることを制限していますが、加速度計から歩数を推測する高精度なアルゴリズムも存在するため、ユーザーの歩数を調べることも可能だとのこと。

加えて、iPhoneには気圧や高度を測定する気圧センサーも搭載されており、アプリは加速度計と同様に気圧センサーのデータにも明示的な許可なしでアクセスできます。その結果、アプリを使用している最中の高度や気圧を測定することができ、ユーザーがバスに乗っているのか、電車に乗っているのか、それとも飛行機に乗っているのかを知ることができるそうです。

◆心拍数・呼吸数
加速度計はiPhoneを持つユーザーの手と体から伝わる微細な振動を検出することができ、このデータを使用して心拍数を推測できるとの研究結果も報告されています。つまり、iOSアプリは加速度計のデータを収集することで、アプリ使用中の心拍数を検出できる可能性があるとのこと。また、心拍数と同様に加速度計を使用して呼吸数を測定できるとの研究結果もあることから、呼吸数から推測できる特定の病気を診断することも可能だとMysk氏は述べています。


◆正確な位置情報
加速度計のデータには位置情報が含まれていないませんが、特定の環境に固有の振動パターンを利用し、正確な位置情報を推測することができるとMysk氏は考えています。たとえば、「A」という人物が位置情報共有をオフにしたアプリを開き、あるバスに乗っている場合、アプリはAの位置情報を知ることはできません。一方、同じバスに位置情報共有をオンにした同じアプリを開いている人物「B」が乗っている場合、アプリはBの位置情報を知ることができます。

もし、アプリがAとBのスマートフォンから加速度計のデータを収集している場合、アプリは2つのスマートフォンが共通の振動パターンを持っていることを把握できます。その結果、アプリは「2つのスマートフォンが同じ場所にある」と判断し、位置情報共有をオフにしているAの正確な位置情報を知ることが可能だとのこと。

◆オーディオ記録
電話のスピーカーから発する音波は振動となってスマートフォンに伝わり、加速度計でも独特の振動パターンを検出しているとのこと。2019年の研究では、加速度計のデータから音声データを再構築することができたと報告されており、アプリを開きながら行われた通話のオーディオ記録を収集できる可能性があるとMysk氏は指摘しました。


実際にMysk氏は、Appleの統合開発環境・XcodeにあるiPhoneのシステムログを表示するオプションを使い、複数のアプリについて加速度計のデータを読み取っているかどうかを調査しました。その結果、Facebook・Facebook Messenger・Instagram・WhatsApp・Signal・Slack・Telegram, TikTok・Threema・Twitter・WeChatなどのアプリで加速度計のデータを収集していることがわかったとのこと。複数のアプリは特定の機能に関連する場合のみデータを収集していたものの、Facebookは加速度計に関連すると思われる機能をオフにした場合でも、常時データを収集していたそうです。

Mysk氏は、加速度計のデータは適切なアルゴリズムを使用すると、さまざまな個人情報に変換することが可能だと指摘。個人情報保護の観点から、加速度計へのアクセスも保護するべきだと述べました。

この記事のタイトルとURLをコピーする

Source