ITジャーナリズムがいかに腐敗しているかの一例を見つけたので、まとめておきます。もともとは、当法人の山田さんが知らせてくれた問題です。
技術的にややこしいので、初心者にもわかりやすいように丁寧に解説していくつもりですが、わかるでしょうか?
悪いBaiduアプリ
彼が知らせてきたのはこの記事でした(ややこしいので中身は読まなくても良いです)。
Google Play ストアのAndroidアプリに個人を特定可能なデータの漏えいが発覚 米国で600万回のダウンロード実績のあるBaiduアプリも
要するに、中国のBaiduによるアプリが、不正にスマフォ内の重要データを取得して、自分のところに送信していたという話です。これにより、GoogleはPlay Storeからこれらのアプリを削除し、配布できないようにしたとのこと。
この記事を読むと、いかにもBaiduのアプリが悪いように見えます。確かにそうなんですが、この記事にしても、同じ事件を伝える別の記事にしても、まるで重要な点を伝えていません。この点を説明していきます。
重要データとは何か?その影響は?
ここでBaiduアプリが取得して送信していた重要データとは、スマフォを全世界で一意に識別できるIMEIと、SIMカードを全世界で一意に識別できるIMSIと呼ばれる番号などです。
これを常に取得すれば、「どこの誰べえ」まではわからないけれども、おおよそ個人を特定できますね。こいつが何をしているなどです。何らかのサービスを登録制にして氏名やクレジットカードなども入力させれば、それ以外でも同一人物が何をしているかわかることでしょう。
しかしですねー、このIMEIとIMSIは、どういうわけか、Android9までは、どんなアプリであっても自由に取得できたのですよ。以下は2011年の記事ですが、ごく普通にどうやって取得するかを解説してますね。
あとから気がついて、これはまずいということになったのでしょう。Android10では、特権のあるアプリでないと取得できないことになったわけです。
Android 10で、端末からIMEIなどのSIM情報を取得する方法
上の記事を読むと、実際問題としては、一般のアプリからはどうやってもIMEI、IMSIを取得できません。この特権が得られるのは、事実上、Google製のアプリだけなのです。
Baiduだろうが何だろうが、IMEI、IMSIを取得することは不可能です。
ではなぜBaiduは取得できたのか?
要するに、Android9までは一般のアプリが自由に取得できていた重要データなんですが、10以降は、一般アプリは取得できず、事実上、Google製アプリしか取得できないことになったわけです。しかし、最初の記事を読んでみると、Baiduアプリがこいつを取得して送信したというんです。
おかしなことに、これらの記事、他にも同じ事件を伝える記事がたくさんあるんですが、Baiduアプリが一体どうやってこの重要データを取得できたのか、その手口が一切書いてないわけです。
そう、考えられる唯一の理由は、Androidのバグです。これらの記事を書いた「ジャーナリスト」連中は、Androidのバグによって、任意のアプリが与えられた権限以上のデータにアクセスできてしまうことに触れたくないわけです。これが一つのGoogleへの忖度です。
実際にこういう記事があります。
こう書いてありますね(中身は気にしなくていいです)。
コードをリバースエンジニアリングしたところ、権限設定による保護を回避する主な方法が 2 つ発見されました。
1 つ目はサイドチャネル攻撃と呼ばれるもので、1 台のデバイスの複数の場所で機密情報にアクセスできる場合に発生します。
たとえば、アプリは位置情報データが必要になると、デバイスの GPS へのアクセスを要求するようになっています。しかし、研究チームが発見したアプリは、ローカルに保存されている保護されていないキャッシュを読み取ることによって、デバイスの接続先である Wi-Fi 基地局の MAC アドレスにアクセスしていました。こうすることで、アプリは必要な位置情報データを入手していました。
2 つ目はコバート(隠し)チャネルと呼ばれる攻撃で、特権アプリと別のアプリとの通信を指します。たとえば、デバイスの一意の識別子である IMEI(International Mobile Equipment Identity: 国際移動体装置識別番号)を読み取ることをアプリに許可した場合、そのアプリは読み取りを許可されていない別のアプリに IMEI を送信できる可能性があります。
間違いなくAndroidのバグです。Baiduのケースでは、上とは別のバグかもしれませんが、説明が一切無いのでわかりません。
ともあれ、本来は、悪意のあるどんなアプリであれ利用できてしまうAndroidのバグに焦点を当てるべきなのに(そんなアプリはいくらでもありますから)、どういうわけか、その一つに過ぎない中国のBaiduに焦点を当てているわけです。いかに、ITジャーナリズムが偏向しているかわかるというものです。
さらに
そしてさらにITジャーナリズムのおかしな点としては、この「重要データ」をGoogleがいくらでも好きなだけ取得できてしまうことを何ら問題にしていないことです。
Google PlayはAndroidOSに深く食い込んでいるので取得し放題ですし、おそらくGoogleから配布される他アプリもこの特権を持っていることでしょう。
Baiduは悪いことに使うけれども、Googleは品行方正で絶対悪いことをしない証拠でもあるんでしょうか?むしろ、Googleという企業こそが、ありとあらゆるインチキを行ってきた証拠など腐るほどあるんですが。。。