アプリがユーザーのアドレス帳の連絡先を許可なくアップロードすることをめぐる以前のプライバシー論争に続き、アプリ開発者がユーザーの写真ライブラリ全体にアクセスしてコピーできるという新たなプライバシー問題が明らかになった。
ニューヨーク・タイムズの新たな報道によると、iPhoneやiPadの位置情報へのアクセスを許可されているアプリ(多くの写真アプリやソーシャルネットワーキングアプリなど)は、ユーザーの許可を求めたり通知したりすることなく、デバイスのフォトライブラリにもアクセスできる可能性があるという。これにより、アプリがユーザーの個人的な写真をアップロード(盗み)し、自社のサーバーに保存できるようになる可能性がある。
ニューヨークタイムズは次のように報じている。
アプリ開発者によると、ユーザーがiPhone、iPad、iPod Touch上のアプリケーションに位置情報へのアクセスを許可すると、アプリはそれ以上の通知や警告なしにユーザーの写真ライブラリ全体をコピーできるという。
AppleのApp Storeにあるアプリが実際にこのような行為を行っているかどうかは不明です。Appleは、ストアに提出されるすべてのアプリを審査していると述べており、正当な理由もなく明らかに個人の写真をコピーしているアプリは承認しないと思われます。しかし、アドレス帳データのコピーもAppleの規則に違反しており、Appleはそうした行為を行っている人気アプリを多数承認していました。
iOS 開発者は、ニューヨーク タイムズの依頼を受けて、シンプルなテスト アプリ「PhotoSpy」を作成しました。このアプリは、アプリがユーザーの写真ライブラリに秘密裏にアクセスし、それを独自の目的で使用することがいかに簡単であるかを実証します。
「PhotoSpy」アプリを起動すると、位置情報へのアクセスを求められました。許可されると、写真とその位置情報がリモートサーバーに吸い上げられました。(このアプリはApp Storeには申請されていません。)
この脆弱性は以前から知られていたと報じられていますが、これまでにアプリがこれを利用しているかどうかは不明です。Appleはおそらく、このような方法でユーザーの情報をアップロード・保存するアプリを承認しないでしょう。しかし、「クローン」アプリ、テザリングアプリ、その他の不正アプリがAppleの承認プロセスをすり抜けていることを考えると、この動作を行うアプリが既にApp Storeに提出され、乱発されている可能性があります。
Appleは最近、ユーザーが特定のアプリをダウンロードまたは購入する前に、そのアプリがユーザーのデータにどのようにアクセスし、使用するかを正確に確認できる新たなセキュリティ対策に同意したが、果たしてそれで十分なのだろうか?一つ確かなのは、AppleはiOSに潜むプライバシーの大きな穴を埋める必要があるということだ。そして、それは遅かれ早かれ実現すべきだ。
