Android にはパケット傍受ツールができた、iPhone 用のが欲しい…けど

Androidアプリにセキュリティ上のリスク、人気アプリの半数で無断情報送信 | 携帯 | マイコミジャーナル より

動画の例では、Nexus One上でTaintDroidをバックグラウンド動作させ、壁紙アプリの1つを実行している。すると、壁紙アプリを終了させた段階で「電話番号」「IMEI(端末固有の識別番号)」「ICCID(SIMカードの識別番号)」の3つのデータが「imnet.us」というサーバに送信されていたことが、TaintDroidの警告メッセージで判明する。このドメインのサーバは、中国の深センにあるようだ。

またそのほかの例としては、GPSデータの送信がある。通常であれば、Google MapsFoursquareといった位置データが重要となるサービスでの利用であったり、広告サーバとの連動で位置情報に関連した広告を表示させるなど、多くのユーザーが目に見える納得のいく形での利用となっている。だが中にはアプリ終了後もその動作をバックグラウンドで続けており、約30秒ごとに位置情報を送信し続けているものも存在するなど、本来の正しい使い方からは逸脱したものもあるという。


Android、複数の人気アプリケーションで無断情報送信を確認 - スラッシュドット・ジャパン より

人気のAndroidアプリケーション30個のうち半分がGPSデータやユーザ情報を広告主やリモートサーバなどに提供していることが分かったそうだ


Android のマーケットからアプリをインストールしようとすると、必ず「このアプリケーションは下記にアクセスする場合があります:」という画面が表示される。そこに表示されるのは、自己申告ではなく、SDK のその情報にアクセスするモジュールを使ったというのを検出する仕組みからなのだそうだ。旦那から聞いたのだけれど、iPhone にはそういう仕組みはないのでこれには感心した。

だとすれば、そのアプリでは不必要と思われるモジュールが表示されたら(例えば壁紙アプリなら「個人情報」「位置情報」にアクセスする必要性を感じない)そのアプリは怪しいのでインストールしなければいい。

…と思っていたのが、これらの記事からは、それ以上の危険性を示唆しているのか読み取れなかった。PDF の論文が英語なので今ちんたら読んでいるが、全部読むのがしんどい…

TaintDroid: An Information-Flow Tracking System for Realtime Privacy Monitoring on Smartphones

この論文はそもそも Android にパケット傍受するアプリを仕込んでみた、という趣旨なのだけれど9ページ目ぐらいに具体的なテスト結果がまとめてある。実施したアプリケーション名も出ている。が、うーんよくわからない。それらがインストール時にどんなメッセージを出しているのか?

ちょっと試してみたけど「The Weather Channel」では(現在地、ネットワーク通信、料金の発生するサービス、システムツール)、「bump」では(現在地、送受信したメッセージ、ネットワーク通信、個人情報、ストレージ、システムツール)と出た。やばいと言えばやばいし、そうじゃないかもしれないってときに、このツール「TaintDroid」が有効ってことなのかな?

なんだかもやもやする記事だ。誰か明解に解説してるページないだろうか。

少なくとも「TaintDroid」というツールに関しては iPhone では JB しないとできない芸当なので、Android が羨ましい。