Amazonのスマートドアベル会社Ringは、ユーザーのプライバシー問題の渦中にいます。Electronic Frontier Foundation (EFF)のレポートでは、「RingのAndroidアプリが、個人を特定できるデータを第三者に過剰に送信している。」と発表されました。
EFFのレポートによると、アプリは個人データをFacebookのGraph API、分析会社のMixpanelとAppsFlyer、および「deep linking」プラットフォームBranchを含む4つのトラッカーに送信していると示しており、トラッカーに送信される情報には、名前、IPアドレス、デバイス識別子、タイムゾーン、言語設定、アプリを介して実行される特定のアクションなどが含まれると伝えられています。
申し立ての最も懸念される部分は、EFFが「Ringがユーザーからの明示的な同意なしにデータを送信している。」と主張していることです。これは一部の法域、例えばEUのGDPRなどにおいてプライバシー法の違反に当たります。
Ringによると「多くの企業と同様に、Ringはサードパーティのサービスプロバイダーを利用してモバイルアプリの使用を評価します。」、「提供されたデータのサービスプロバイダーの使用は、契約上の適切な目的に限定されることを保証します。」とのことです。しかしEFFのレポートは、「ほんのわずかな情報でも送信すると、分析およびトラッキング企業はこれらのビットを組み合わせ、ユーザーのデバイスの一意のプロファイルを形成できてしまう危険性があります。」と指摘しています。
RingがAmazonに買収されて以来、ユーザーのプライバシーとセキュリティに関しては監視が強化されてきました。
2019年9月にMozillaが公開したレポートは、Ringプライバシー対策が脆弱であると強調しました。テストされた76台のデバイスのうち、Mozillaのテストをクリアできなかったのは9台のみで、そのうちの4台はRing(本質的に会社の製品ライン全体)でした。Ringの製品がMozillaのテストに落ちた主な理由は、暗号化ポリシーと脆弱性の管理が不十分だったからです。
また、2019年にはカップルのRingのドアベルがハッキングされ、加害者が身代金として50ビットコイン(40万ドル相当)を要求した事件もありました。
Motherboardのレポートでは、わずか6ドルのソフトウェアでRingのドアベルを危険にさらすことができると示しています。今後、RingがIoT業界のユーザープライバシーとセキュリティ対策について、より良い実践例を示せるようになることを願います。
(画像引用:https://www.amazon.com/)
