
荷物追跡アプリがユーザーのデバイスをボットファームに変え、ユーザーのプライバシーを侵害c

最近、App Storeでは詐欺アプリが多数確認されています。ユーザーを騙して高額なサブスクリプションや製品を購入させようとするアプリや、ユーザーの同意なしに位置情報を追跡・送信するアプリも確認されています。本日は、iOSデバイス所有者の同意なしに、他のユーザーのために作業を行うアプリについてお話したいと思います。
「Parcels – Track Your Packages」(人気の「Parcel」アプリと混同しないでください)というこのアプリは、App Storeで4.7つ星の評価を得ており、ロシアの開発者Pavel Tisunov氏によって配布されています。無料ですが、オプションで年間3.49ドルまたは月額0.99ドルのサブスクリプションを購入できます。同じアプリはGoogle Playストアでも入手可能ですが、私はまだ調査していません。
アプリを起動するとすぐに、まだ荷物を登録していないにもかかわらず、追跡する荷物のリクエストをサーバーに送信し始めます。サーバーは、他のユーザーからの荷物の情報をアプリに送信し、追跡できるようにします。この情報には、追跡番号、リクエストを送信する配送業者の詳細、配送業者のAPIまたはウェブサイトのURL、リクエストヘッダーなどの技術的な詳細が含まれます。
次に、アプリはサーバーから受信した指示に従って、宅配業者の API または Web サイトにリクエストを送信して追跡を実行し、結果をアプリのサーバーに送信して、実際にそのパッケージを追跡登録したユーザーに表示できるようにします。
本質的には、このアプリは荷物の追跡作業をサーバー側で実行する代わりに、ユーザーの帯域幅、電力、そして処理能力を活用して宅配業者のウェブサイトにアクセスし、配送状況の変更を取得し、それを他のユーザーに送信します。このアプリがインストールされているすべてのデバイスが基本的にボットとなり、アプリの他のユーザーの荷物を追跡するため、この種の動作はボットネットに分類されます。たとえ、現在のデバイスのユーザーが追跡対象の荷物を登録していなくてもです。
開発者がこの戦術を選択した理由は数多く考えられます。サーバー運用コストが主な要因ではないと考えています。昨今のサーバーコストは非常に手頃であり、アプリはボットネットを制御するためにサーバーを必要とします(これは荷物の追跡よりもさらにサーバー負荷が高いタスクです)。
おそらく、このアプリの開発者はAPIベンダーが適用するレート制限を回避しようとしているのでしょう。レート制限は通常、呼び出しに使用されたAPIキー、または呼び出し元のクライアントのIPアドレスに基づいて、一定時間内に配送サービスへのAPI呼び出し回数を制限します。このアプリは世界中のデバイス間でAPI呼び出しを分散しているため、IPアドレスに基づいてレート制限することは不可能です。
また、アプリがサポートする多くの宅配業者は適切な API を持っていないため、アプリはウェブサイト スクレイピングに頼っています。ウェブサイト スクレイピングとは、ユーザーが荷物を追跡するためにアクセスする通常のウェブサイトをダウンロードし、その結果を読み取って解釈し、後で追跡データをアプリに表示できるようにする手法です。
多くのウェブサイトではウェブサイトスクレイピングが許可されておらず、継続的にスクレイピングを行っていると思われるIPアドレスからのリクエストをブロックすることがあります。繰り返しになりますが、サーバーのIPアドレスは頻繁に変更されるものではありませんが、アプリがユーザーのデバイスを使用してスクレイピングを実行していることを考えると、ウェブサイトがIPアドレスに基づいてブロックすることは不可能です。
このアプリが爆発的に普及すれば、開発者がアプリをインストールしたすべてのデバイスに標的のURLにアクセスするよう指示できるこのメカニズムを悪用し、ウェブサイトに対するDDoS攻撃の手段として利用される可能性さえあります。また、広告を偽装して「クリック」させるのにも利用される可能性があります。
この仕組みは、アプリがHTTPSを使用しておらず、受信した指示に対していかなる検証も行っていないため、中間者攻撃によって悪用される可能性もあります。繰り返しますが、アプリはユーザーのデバイスを使用して、ユーザーのものではない荷物に関する情報を平文で送信しています。
これらすべてかなり悪いことですが、このアプリがインストールされているすべてのデバイスでは、アプリをインストールしたユーザーの明確な同意なしに、他のユーザーのために作業を実行するために帯域幅、パフォーマンス、バッテリー寿命が低下しているという事実もあります。
この行為は、Appleのアプリ審査ガイドライン2.4.2項に違反しています。同項では、アプリは「無関係なバックグラウンドプロセスを実行してはならない」と規定されています。アプリは荷物の追跡(本来の機能)を行っていますが、私のデバイス上で他のユーザーのためにこの処理を行っており、これは私がアプリをダウンロードした目的とは全く無関係です。本稿執筆時点では、アプリの説明やプライバシーポリシーにこの行為に関する記載はありません。
プライバシーと言えば、この行為はプライバシーの侵害でもあります。なぜなら、デバイス上でプロキシを実行できるユーザーは誰でも、アプリの他のユーザーの追跡番号に、本人の同意なしにアクセスできるからです。テストデバイスでアプリを1時間実行したままにしたところ、私の荷物ではない荷物の追跡リクエストが52件も送信されました。しかし、プロキシを使ってアプリが何をしていたかを確認していたため、今ではそれらの追跡番号を入手しています。
このアプリについて私に報告してくれた人はApp Storeに連絡しましたが、まだ返答がありません。私たちもAppleに報告しており、返答が届き次第この記事を更新します。
Apple のニュースをもっと知りたい場合は、YouTube の 9to5Mac をご覧ください。
bandboth.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。