TikTok、Android端末固有の情報を無断収集していたことが判明。現在は修正済(WSJ報道)

人気動画アプリTikTokは米国での事業展開に際し、繰り返し中国政府とのつながりを否定してきましたが、その疑いは晴れることなく、もはやマイクロソフト(または他の企業)と進めているとされる事業売却が成立しなければ、米国でのサービス継続は困難な状況になっています。

Wall Street Journalは、TikTokアプリが本当に何らかの情報をどこかへ送っているかを確認するため、2018年から2020年までの各バージョンを解析したところ「モバイルアプリとして特に異常な量の情報を収集したりはしていなかった」と報告しました。しかし、2019年末までのバージョンにおいては、アプリがAndroid保護機能を迂回して端末固有値であるMACアドレスを18か月にわたり取得していたと報じています。

MACアドレスはネットワーク通信のために使用されるデバイスに固有の値で、通常は変更することはできません。この値をアプリが取得できれば、その端末を異なるユーザーが使用していることを追跡することが可能となります。そのため、Androidは通常、ユーザーが変更可能な匿名化IDを用い、MACアドレスをアプリに知らせないようにしています。

しかしAndroid版のTikTokアプリは、ユーザーがアプリを起動して使い始めるまでの間にこのMACアドレスを暗号化した特殊な通信レイヤーを通じてByteDanceのサーバーに送っていたとのことです。TikTokはこれに対し最新のTikTokアプリはMACアドレスを収集しないと主張しています。しかし過去のアプリがどうだったかについては触れませんでした。

TikTokアプリが使っていた脆弱性を利用してMACアドレスを集めているアプリはGoogle Play Storeに約350も見つかっており、有名なところではアマゾンのFire TVアプリ、テレビ録画端末Roku用のアプリなどが匿名化IDの使用を迂回してMACアドレスを取得していたことがわかっています。Rokuは2019年にMACアドレス取得が判明した後、その問題を修正しています。

MACアドレスはあくまで端末固有値というだけであり、それが即、個人情報流出につながるわけではありません。むしろユーザー追跡型広告配信のために使われていた模様ですが、いずれにせよ以前から設けられていたアプリ向けのポリシーに準拠していなかったことには違いありません。なお、最新バージョンのTikTokでは問題は解決されているとByteDanceは述べています…が、もし心配ならわざわざいまからそれを使う必要はありません。たとえばFaebook(…も一時は個人情報収集で悶着あった会社ですが)は、TikTok対抗の動画投稿サービスReelsを提供すると発表済みです。

source：Wall Street Journal

via：The Verge