キーボードアプリ「ai.type」のAndroid版が3100万件ものユーザーの個人情報を誤って外部公開! |
MacKeeper傘下のKromtech Security Centerは5日(現地時間)、スマートフォン(スマホ)など向けのキーボードアプリ「ai.type」のAndroid版にて約3100万件もの個人情報が誤ってインターネット上に公開されていることが明らかになったと発表しています。
ai.typeはAndroid向けおよびiPhoneなどのiOS向けアプリがあり、今回問題があったAndroid版についてもアプリ配信マーケット「Google Playストア」にて約4000万ダウンロードされている人気アプリです。
Kromtechによると原因はデータベース「MongoDB」の設定ミスとのこと。幸いにも日本語には対応していないのですが、Google Playストアのレビューにはちらほらと日本のユーザーのものが掲載されていることから日本人にはまったく関係無いという訳でもなさそうです。
ai.typeが収集していた個人情報は下記の通り。漏洩したMongoDBのレコードから、ai.typeは下記の情報をアプリをインストールした3129万3959件のユーザーから収集していたことが分かりました。
・電話番号
・所有者のフルネーム
・モバイルネットワーク名
・SMSの番号
・画面解像度
・有効なユーザー言語
・Androidバージョン
・IMSI番号
・IMEI番号電話
・居住国
・ソーシャルメディアのプロフィール(生年月日、タイトル、Eメールなど)
・写真(Google+、Facebookなどへのリンク)
・IPアドレス(取得可能であれば)
・位置情報(緯度/経度)
さらに3億7300万件を超える連絡先データ(リンクされたGoogleアカウントに保存・同期されたすべての連絡先を含む)を含むユーザーの連絡帳から収集されたデータを含むレコードも漏洩していたことが判明しました。
収集されていた情報を見て、これがキーボードアプリなのかと疑いたくなるような内容を収集しています。正直なところ、最近で回っているAndroid向けのトロイの木馬より酷いと言っても良いです。
特に恐ろしいのが、ユーザーの位置情報を緯度・経度で記録して収集していた点です。それこそ物語に出てくるような、超監視社会さながら。こんな個人情報の塊がインターネット上に露呈していたと考えると、非常に恐ろしいと思いました。
先日お伝えしたようにGoogleではAndroidアプリにおいて個人情報収集のプライバシーポリシーを強化し、きちんと明示せずに収集するアプリに警告を出すように変更するとしていますが、きちんとポリシーを明示していたとしても同意してしまえば本来のアプリの機能には必要のない個人情報も収集されてしまうのでなかなか難しいところです。
ユーザー側でしっかり確認できれば良いのでしょうし、できればアプリ提供側も行き過ぎた個人情報の収集は控えて欲しいものですね。
記事執筆:YUKITO KATO
アプリ名:無料のキーボード+絵文字をai.type
価格:無料
カテゴリ: カスタマイズ
開発者:ai.type
バージョン:端末により異なります
ANDROID 要件:端末により異なります
Google Play Store:http://play.google.com/store/apps/details?id=com.aitype.android
アプリ名:ai.type keyboard Free + Emoji
価格:無料
カテゴリ:ユーティリティ
開発者:ai.type Ltd
バージョン:4.0.1
互換性:iOS 8.0 以降。iPhone、iPad、および iPod touch に対応。
iTunes Store:http://itunes.apple.com/jp/app/id916548141?mt=8
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・Virtual Keyboard Developer Leaked 31 Million of Client Recor