自撮り加工アプリMeitu、ユーザー情報を中国に送信していた

 
自撮り写真を簡単に修正、加工できる中国発のカメラアプリ「Meitu」が人気を集めていますが、同アプリがユーザー情報を収集、中国にいるアプリ開発者に送信していたことがわかりました。

App Storeで人気急上昇のアプリ「Meitu」

Meituは、撮影後の自撮り写真の目を大きくする、ニキビなどを消して肌をきれいにするといった修正はもちろん、手描きの絵画風に一瞬で変えてしまうなど、その強力な画像加工機能が注目を集めています。
 
AppleInsiderによれば、一時はAppleのApp Storeの無料アプリランキングで13位にランク入りしていたようです（筆者が確認した22日午後時点では34位）。

ユーザー情報を集めて中国の開発者に送信

しかしセキュリティ研究者らがMeituのiOS版を調べたところ、気になるコードが見つかりました。
 
ジョナサン・ズジアスキ氏によれば、同アプリはダウンロード先であるiPhoneが使用制限の解放をしているかどうかのチェックを複数回行い、使っている通信キャリアの情報を集め、MACアドレス情報をもとにその端末の識別番号（IMEI）を入手、中国のアプリ開発者に送信しているとのことです。研究者らは、開発者が収集したデータを広告代理店などに販売しているのではないか、と推測しています。
 
データ収集・送信を行っているのはiOS版Meituだけではありません。Google Playストアで提供されているAndroid版は、デバイスのGPS・電話番号・オーディオ設定へのアクセス、端末の起動時にアプリを立ち上げるかどうかなど、アプリのインストール時に行なわれる設定で「イエス」と答えた場合、これらのデータを収集、自動的に送信しているようです（イエスと答えないとアプリは使えない）。
 
ズジアスキ氏らがさらにiOS版の調査を進めると、フレームワークを動的にロードし、記載されていないAPIを使用する「App Storeでは禁じられているコード」を使っていることがわかりました。ほかにもApp Storeで許可されていないコードを使っている箇所が見つかったそうです。
 

Summary: Meitu is a throw-together of multiple analytics and marketing/ad tracking packages, with something cute to get people to use it.

— Jonathan Zdziarski (@JZdziarski) 2017年1月19日

他のアプリも個人情報を勝手に収集・売買している可能性

「個人データを勝手に送信している」という訴えに対しMeituは、データを収集しているのは彼らが中国を拠点としているためで、App StoreとGoogle Playが提供するトラッキングサービスが中国ではブロックされているためだ、とCNETに説明しています。
 
iOS版で集めているキャリア情報についてはターゲット広告に使用、また使用制限の解放がしているかどうかの確認は、コンテンツを共有しているWeChatのソフトウェア開発キット（SDK）にあらかじめ含まれているため、と回答しています。
 
しかしGoogle Playもそうですが、アプリの審査が厳しいはずのApp Storeでも、Meituの配布は認められています。この事実はMeituに限らず、ほかのアプリもユーザーが知らぬ間に個人情報を収集、マーケティング目的で売買している可能性を示しています。
 
 
Source:CNET,AppleInsider
(lunatic)