⚠この記事はブログ移転前のアーカイブです

「ゴルスタ」アプリは中高生限定のアプリで同年代同士匿名でコミュニケーションを撮ったり出来るアプリなのですが,その運営体制にちょっと火がつきました

この件に関してはあまり興味が無いので,この炎上案件のついでに引っ張りだされてきた「ゴルスタアプリの権限」について書きたいと思います.

screenshot.281

追記:2016/9/5 スプリックスによる「ゴルスタ」はサービスを終了しました。

個人情報収集アプリの疑惑

スマートフォンアプリ(Android,iOS等)はそのアプリが実行できる権限が非常に限られています.連絡帳やGPSを使用する場合は権限を与えなくてはいけません.

逆にそのアプリに対して明らかに不要な権限がくっついている場合,個人情報収集目的などの疑いがかかってしまいます.健全なアプリ開発者は必要な権限だけを追加して利用者に配信するわけです.

「ゴルスタ」ではこの権限設定がちょっと過剰だと言われています.さて本当なのでしょうか.Android版ゴルスタの権限を見てみることにします.

権限を確認するには?

アプリインストール時に表示されています.また,アプリ詳細画面の最下部にも権限の詳細が表示できます

Screenshot_2016-08-26-11-34-29 Screenshot_2016-08-26-11-34-33

ゴルスタアプリ権限一覧

本記事執筆時(バージョン3.31)の権限一覧です

アプリ内購入

端末とアプリの履歴

  • 実行中のアプリの取得

ID

  • この端末上のアカウントの検索

連絡先

  • この端末上のアカウントの検索
  • 連絡先の読み取り
  • 連絡先の変更

位置情報

  • 正確な位置情報(GPS とネットワーク基地局)

SMS

  • テキスト メッセージ(SMS)の受信

電話

  • 端末のステータスと ID の読み取り

画像/メディア/ファイル

  • USB ストレージのコンテンツの読み取り
  • USB ストレージのコンテンツの変更または削除

ストレージ

  • USB ストレージのコンテンツの読み取り
  • USB ストレージのコンテンツの変更または削除

カメラ

  • 画像と動画の撮影

マイク

  • 録音

Wi-Fi 接続情報

  • Wi-Fi 接続の表示

端末 ID と通話情報

  • 端末のステータスと ID の読み取り

その他

  • インターネットからデータを受信する
  • ネットワークへのフルアクセス
  • この端末上のアカウントの使用
  • ネットワーク接続の表示
  • 端末のスリープの無効化
  • 他のアプリの上に重ねて表示
  • バイブレーションの制御
  • 音声設定の変更
  • ネットワーク接続の変更
  • システム設定の変更
  • Bluetooth デバイスのペアの設定

ゴルスタアプリで怪しい権限は?

ゴルスタで設定されている権限で個人特定可能,または怪しい権限をピックアップしました.

  • この端末上のアカウントの検索

    スマホに登録されたアカウントGoogle Gmaildocomo IDTwitterアカウントの漏洩になる

  • 連絡先の読み取り・連絡先の変更

    スマホに登録された他人の連絡先(電話番号メール氏名など)を自由に収集することができる

  • 正確な位置情報(GPS とネットワーク基地局)

    そのスマホを持った人間がいつどこでどのような行動をしたかが分かるようになる.頻繁にこの情報を収集するとスマホ所有者の住所や,大まかな就寝時間起床時間などの生活リズムまで分かるようになる

  • 端末のステータスと ID の読み取り

    スマホの電話番号・メールアドレスが収集できる.

個人情報っぽいものが取れそうな権限です.ただし,ゴルスタがSNSである以上当然くっついている権限です.Twitterなども上記の権限を持っています.

あとすこし怪しい権限は

  • 実行中のアプリの取得

    そのユーザーがどんなアプリをインストールしてどんなアプリをどれだけ使ったかが分かる

  • テキスト メッセージ(SMS)の受信

    ゴルスタアプリ内でSMS認証するための権限の模様.ただしSMS送信は企業サービスを利用せず個人携帯番号で送っている話が一部で出ているので怪しい

  • システム設定の変更

    Androidシステムの設定を勝手に変更することが可能.

  • Bluetooth デバイスのペアの設定

  • 他のアプリの上に重ねて表示

少し多いかもしれないけどSNSなら当然持っている権限

インストール時にズラっと権限が並んで表示されるので怪しく感じますが,SNSとしてはまあそんなもんかって思う程度です.その他ストレージやカメラ,録音権限を持っていますがこれらは生放送用の権限と思われます.

アプリの権限設定を見るだけでは「このアプリは個人情報すっぱ抜くから危ない!」とかは言えないです.実際にアプリ使わないとわからない部分もあるし・・・

問題はその情報をどう使うか

ゴルスタ運営元のスプリックスは森塾を運営する企業です.ゴルスタの利用規約プライバシーポリシーには収集した情報は市場調査、データ分析、その他の調査研究・マーケティングのため使用する可能性があることが記されています.ゴルスタで利益を上げるのではなく,ゴルスタで得た情報を森塾や教育コンテンツの開発に利用するものと思われます.

しばらくしたら「ビッグデータ」とかいってゴルスタで得た情報で出来た成果物がメディアに掲載されたりして・・・

(なにかツッコミがありましたら是非コメントにてお知らせください)