連邦捜査局(FBI)は、外国で開発されたモバイルアプリケーション、特に中国に本拠を置く企業による開発アプリに関連する潜在的なデータセキュリティリスクについて公開警告を発表しました。
本勧告は米国で広く使用されているアプリに焦点を当てていますが、指摘されているリスクはグローバルであり、世界中のユーザーに関連しています。
中国のデジタルインフラ内で運営されるアプリは、同国の国家安全保障法の対象となり、政府当局がこれらのプラットフォームに保存されたユーザーデータにアクセスすることを許可する可能性があります。
FBI によると、現在利用可能な最もダウンロード数の多いアプリとトップ収益アプリの多くは、外国の企業により開発・保守されています。
大規模なデータ収集の懸念
FBI は、多くのモバイルアプリがインストール時に広範な権限をリクエストしていると警告しています。一度付与されると、これらの権限により、アプリが活跡に使用されていない場合でも、ユーザーのデバイスからデータを継続的に収集することが可能になります。
このデータは基本的な使用情報を超えており、機密の個人情報を含む場合があります。
主な懸念事項は連絡先リストへのアクセスです。一部のアプリはユーザーが友人を招待または連絡先を同期するよう促しています。
デフォルト権限が有効な状態では、開発者はユーザーだけでなく、アプリを使用していない可能性のある連絡先リスト内の個人に関する名前、電話番号、メールアドレス、物理的なアドレス、ユーザーID などの情報を収集および保存できます。
複数のアプリのプライバシーポリシーは、個人情報およびシステム入力を含む収集されたデータが、中国に位置するサーバーに保存される可能性があることを示しています。
いくつかの場合、このデータは無期限にまたは特定されない期間保持されます。いくつかのアプリは外部サーバーへのデータ転送を制限するローカルのみモードを提供していますが、他のアプリはユーザーが機能にアクセスする前に完全なデータ共有条件に同意することを要求しています。
データプライバシーの懸念を超えて、FBI は特定のアプリケーション内に組み込まれた悪意のあるコードのリスクを強調しています。一部のアプリはモバイルオペレーティングシステムの既知の脆弱性を悪用できる隠れたマルウェアを含む可能性があります。
このマルウェアはバックドアをインストール、権限を昇格させ、機密データへの無許可アクセスを可能にすることができます。
より深刻な場合、侵害されたアプリはユーザーの知識なしに追加の悪意あるコンポーネントをダウンロードでき、身元盗難、監視、または金融詐欺のリスクを増加させます。
FBI は、非公式またはサードパーティアプリストアからダウンロードされたアプリは、標準的なセキュリティチェックをバイパスする可能性があるため、大幅に高いリスクをもたらすと指摘しています。
ユーザーへの FBI の推奨事項
これらの脅威への曝露を減らすために、FBI はユーザーに基本的なサイバーセキュリティ慣行に従うよう促しています:
- 不要なアプリの権限とデータ共有設定を無効にしてください。
- 公式で信頼できるアプリストアからのみアプリをダウンロードしてください。
- パスワードを定期的に更新し、強力な認証方法を使用してください。
- デバイスを最新のセキュリティパッチで更新された状態に保ってください。
- アプリをインストールする前に、サービス利用規約とプライバシーポリシーを慎重に確認してください。
データが侵害されたと疑うユーザーは、FBI のインターネット犯罪苦情センター(IC3)(www.ic3.gov)にインシデントを報告することをお勧めします。
報告には、デバイスタイプ、アプリ名、付与された権限、ダウンロード元、およびインストール後に観察された異常なアクティビティなどの詳細を含める必要があります。
モバイルアプリが日常生活において中心的な役割を果たし続けるにつれて、FBI は強力なサイバーハイジーンを維持することが、進化するグローバルな脅威から個人データを保護するために必須であることを強調しています。
翻訳元: https://gbhackers.com/chinese-mobile-apps/
