自撮り写真を簡単に修正、加工できる中国発のカメラアプリ「Meitu」が人気を集めていますが、同アプリがユーザー情報を収集、中国にいるアプリ開発者に送信していたことがわかりました。

App Storeで人気急上昇のアプリ「Meitu」

Meituは、撮影後の自撮り写真の目を大きくする、ニキビなどを消して肌をきれいにするといった修正はもちろん、手描きの絵画風に一瞬で変えてしまうなど、その強力な画像加工機能が注目を集めています。
 
AppleInsiderによれば、一時はAppleのApp Storeの無料アプリランキングで13位にランク入りしていたようです(筆者が確認した22日午後時点では34位)。

ユーザー情報を集めて中国の開発者に送信

しかしセキュリティ研究者らがMeituのiOS版を調べたところ、気になるコードが見つかりました。
 
ジョナサン・ズジアスキ氏によれば、同アプリはダウンロード先であるiPhoneが脱獄しているかどうかのチェックを複数回行い、使っている通信キャリアの情報を集め、MACアドレス情報をもとにその端末の識別番号(IMEI)を入手、中国のアプリ開発者に送信しているとのことです。研究者らは、開発者が収集したデータを広告代理店などに販売しているのではないか、と推測しています。
 
データ収集・送信を行っているのはiOS版Meituだけではありません。Google Playストアで提供されているAndroid版は、デバイスのGPS・電話番号・オーディオ設定へのアクセス、端末の起動時にアプリを立ち上げるかどうかなど、アプリのインストール時に行なわれる設定で「イエス」と答えた場合、これらのデータを収集、自動的に送信しているようです(イエスと答えないとアプリは使えない)。
 
ズジアスキ氏らがさらにiOS版の調査を進めると、フレームワークを動的にロードし、記載されていないAPIを使用する「App Storeでは禁じられているコード」を使っていることがわかりました。ほかにもApp Storeで許可されていないコードを使っている箇所が見つかったそうです。
 

他のアプリも個人情報を勝手に収集・売買している可能性

「個人データを勝手に送信している」という訴えに対しMeituは、データを収集しているのは彼らが中国を拠点としているためで、App StoreとGoogle Playが提供するトラッキングサービスが中国ではブロックされているためだ、とCNETに説明しています。
 
iOS版で集めているキャリア情報についてはターゲット広告に使用、また脱獄しているかどうかの確認は、コンテンツを共有しているWeChatのソフトウェア開発キット(SDK)にあらかじめ含まれているため、と回答しています。
 
しかしGoogle Playもそうですが、アプリの審査が厳しいはずのApp Storeでも、Meituの配布は認められています。この事実はMeituに限らず、ほかのアプリもユーザーが知らぬ間に個人情報を収集、マーケティング目的で売買している可能性を示しています。
 
 
Source:CNET,AppleInsider
(lunatic)