誰もがあなたのスマートフォンに入っているすべてのアプリを知れるとしたら

• 数年前までは、Androidアプリはユーザーの許可なく、インストールされているすべてのアプリ一覧を確認できた
• Android 11（2022年から適用）以降、Googleはアプリ開発者に対するインストール済みアプリ一覧へのアクセスを制限するパッケージ可視性ポリシーを導入した
• 例外的に、ファイルマネージャー、ブラウザー、ウイルス対策アプリのように特定機能が中核となるアプリは、QUERY_ALL_PACKAGES権限を要求して全アプリ一覧を確認できる
• 開発者はAndroidManifest.xmlに、自分が確認したいアプリ一覧を明記しなければならない

インドのアプリがインストール済みアプリ一覧を使う方法

• 筆者は補助用のAndroidスマートフォンにさまざまなインドのアプリをインストールし、AndroidManifest.xmlファイルを分析した
• ほとんどのアプリは、UPI決済アプリなど機能実行に必要な合理的なアプリだけを確認している
• しかし一部のアプリは非常に多くのアプリを明記し、過剰に情報を収集している

Swiggyのアプリ照会リスト

• Swiggyは実に154個のアプリのパッケージ名を明記している
• Xbox、Playstation、Naukri、Upstoxなど、フードデリバリーと無関係なアプリまで含まれている
• これは顧客の行動データに基づくユーザープロファイリングが目的である可能性が高い
• Googleのポリシーによれば、インストール済みアプリ一覧は機微な個人データに分類される

Zeptoのアプリ照会リスト

• ZeptoはSwiggyよりさらに多い165個のアプリを明記している
• Netflix、Bumble、Binanceなど、ほぼすべてのカテゴリの人気アプリを含んでいる
• ZeptoはiOSユーザーとAndroidユーザーに異なる価格を見せることで知られている
• この情報を通じて、Android端末ユーザー同士の間でも差別価格を表示できる可能性がある

ライダー向けアプリのアプリ照会

• SwiggyとZeptoの配達ライダー向けアプリも、別個のアプリ一覧を照会している
• Zeptoは競合他社のライダーアプリを確認する程度だ
• Swiggyはさらに踏み込み、個人向け金融アプリ、ローンアプリ、さらにはLudo Kingのようなゲームアプリまで照会している
• 配達ライダーの余暇活動まで監視する水準の情報収集だ

ローンアプリの過剰なアプリ照会

• Kreditbee（5,000万回超ダウンロード）: 860個のアプリを確認
• Moneyview（5,000万回超ダウンロード）: 944個のアプリを確認（全一覧はGitHubリンク参照）
• カレンダー、占星術、信仰アプリ、結婚仲介アプリ、農業アプリなど、生活全般にわたるアプリを含んでいる
• GoogleのQUERY_ALL_PACKAGES禁止ポリシーを回避するため、アプリを一つひとつ列挙する方式を使っている

Credの例外的な権限使用

• Credは唯一QUERY_ALL_PACKAGES権限を使っている
• Googleは、金融取引機能が中核である場合に限り一時的にこれを許可している
• しかし同じ金融アプリであるPhonePeやPaytmなどは、この権限を使っていない
• Credはローンサービスも提供しているため、ポリシー違反の可能性がある

ACTION_MAINフィルターを使った回避方法

• 一部のアプリはACTION_MAINインテントフィルターを使って、すべてのUIアプリを識別できる
• この方法では、QUERY_ALL_PACKAGES権限なしでも、インストール済みアプリ一覧を迂回的に確認できる
• テスト用アプリを作って実験した結果、この方法で全アプリ一覧を取得できた
• Play Storeはこれを防ぐべきだが、現実には審査が緩い

フィルターを使うアプリ一覧

• インストール済みアプリを確認するフィルターを使うアプリ:

  • Astrotalk, Axis Mobile, Bajaj Finserv, BookMyShow, Cars24, Cure.fit, Fibe, Groww, Housing, Instamart, Ixigo, JioHotstar, KreditBee, KukuTV, LazyPay, Ludo King, Meesho, MoneyTap, Moneyview, Navi, NoBroker, Nykaa, Ola, PhonePe, PhysicsWallah, Slice, Spinny, Swiggy, Swiggy Delivery, Tata Neu, Zomato

• フィルターを使わないアプリ:

  • Airtel Thanks, Blinkit, Byju’s, MyGate, Dream11, Flipkart, HDFC Mobile, Healthify, INDmoney, MyJio, Paytm, PaisaBazaar, ShareChat, Unacademy, Vedantu, Zepto

• Swiggyはフィルターと直接明記の両方を使っている（データ収集手法としてはむしろ透明性が高い）

グローバルアプリでもフィルター使用はさまざま

• フィルターを使っている: Facebook, Instagram, Snapchat, Subway Surfers, Truecaller
• フィルターを使っていない: Amazon, Spotify, X(Twitter), Discord, WhatsApp

アプリのインストールデータはどれほど機微な情報か

• 2022年、Viceは生理周期アプリのインストール情報を米国のデータブローカーが取引している事例を報じた
• このように、インストール済みアプリ一覧は、個人の信条、健康、財務状態などの機微情報を明らかにしうる

ZeptoのSMS権限活用事例

• ZeptoはREAD_SMS権限を要求する
• Zepto Postpaid機能を使う際に必須で、実際にはユーザーが選択しなくてもSMSを読める
• Blinkit、Swiggy、FlipkartなどのSMSまでも分析対象に含まれる

結論

• ほとんどのアプリは、過剰な権限要求なしに正常な範囲で動作している
• しかし一部のアプリは、回避手法と過剰なパッケージ列挙を通じて、ユーザーのインストール済みアプリデータを収集している
• ユーザーは、アプリのインストール時にこうした情報が容易に露出しうることを認識する必要がある
• この情報は最終的にデータブローカーを通じて販売され、今後、価格差別や広告ターゲティングに活用される可能性がある