次の場合に Privacy Violation が発生します。

1.ユーザーの個人情報がプログラムに持ち込まれる場合。
2.コンソール、File System、ネットワークなどの外部の場所にデータが書き込まれる場合。

例 1: 次の脆弱なコードには、シークレット "admin_password" を難読化せずにログに記録できるようにする構成ステートメントが含まれています。

from oslo_config import cfg
 ...
opts = [
  cfg.StrOpt('admin_password',secret=False,
               help="User's password")]
 ...              
grp = cfg.OptGroup('mygroup')
cfg.CONF.register_opts(opts, group=grp)
 ...
logger.warning("Adding %s" % cfg.CONF.mygroup.admin_password)

Example 1 のコードは、secret が False に設定されているため、admin_password を平文 (難読化なし) に書き込んでログに出力します。多くの開発者がイベントログをデータの安全な格納先として信頼しがちですが、特にプライバシーに関わる場合は盲目的に信頼しないでください。

個人データがプログラムに持ち込まれる方法はさまざまです。

- パスワードもしくは個人情報としてユーザーが直接入力する。

- アプリケーションにより、データベースなどのデータ ストアからアクセスされる。

- パートナなどの第三者から間接的に持ち込まれる。

個人情報とのラベル付けがされていないデータも、別のコンテキストでは個人情報としての意味を持つことがあります。たとえば、学籍番号は、学生の個人情報に結びつくような明示的で公開されたマッピングがないので、通常、個人情報とは見なされません。しかし、学校が学生の社会保障番号に基づいて学籍番号を生成する場合は、学籍番号は個人情報と見なすべきです。

多くの場合、セキュリティとプライバシーの問題は互いに競い合っているかのようです。セキュリティの見地からは、異常な活動があった場合に後で識別できるように、重要な操作はすべて記録するべきです。ただし、個人データが関係する場合、それによりリスクが生じる可能性があります。

個人データの安全でない取り扱いにもさまざまな形態がありますが、一般的なリスクの原因は不適切な信頼にあります。多くの場合、プログラマはプログラムが実行される操作環境を信頼するので、File System やレジストリなどローカルで制御されているリソースに個人情報を格納することも適切だと考えます。ただし、一部のリソースへのアクセスが制限されている場合も、実際にアクセス権を持っている個人なら信頼できるとは限りません。たとえば、2004 年には、AOL のある不心得な従業員が、約 9,200 万人の個人顧客の電子メール アドレスを、海外のギャンブル Web サイトのマーケティングをしているスパマーに販売しました [1]。

こうした悪用が注目を集めたため、個人データの収集と管理に関する規制は厳しさを増しています。会社などの所在地や業種、処理する個人データの性質によって異なりますが、以下に挙げる連邦や州の規制の遵守を求められる場合があります。

- Safe Harbor Privacy Framework [3]

- Gramm-Leach Bliley Act (GLBA) [4]

- Health Insurance Portability and Accountability Act (HIPAA) [5]

- California SB-1386 [6]

これらの規制にも関わらず、Privacy Violation はますます高い頻度で発生し続けています。

攻撃者は次の方法を用いて、検証されていない許可の脆弱性を攻撃します。

1. 信頼できないソースからアプリケーションにデータが入り込んだ場合。

2. データは、事前に妥当性チェックが行われることなく、ユーザーまたはグループ識別子、許可リスト、または許可が適用されるリソースを示すために表示されます。アプリケーションは、このチェックされていないデータを使用して、許可設定を編集します。

この権限には「危険」の保護レベルが設定されています。危険と指定された権限は、ユーザーのデータのプライバシーやデバイスの動作に対するリスクが高まることを意味します。この場合、身体活動情報へのアクセスは、ユーザーのプライバシーや個人の安全を脅かす可能性があります。ユーザーの身体活動情報へのアクセスを必要とするアプリケーションは、細心の注意を払って管理する必要があります。

例 1: AndroidManifest.xml の<uses-permission .../> 要素では、ACTIVITY_RECOGNITION 権限の使用を宣言しています。この権限により、アプリケーションがユーザーの身体活動を認識できるようになります。

 <uses-permission android:name="android.permission.ACTIVITY_RECOGNITION"/> 

この権限には「危険」の保護レベルが設定されています。危険と指定された権限は、ユーザーのデータのプライバシーやデバイスの動作に対するリスクが高まることを意味します。この場合、ユーザーのカレンダーにアクセスすることで、ユーザーのプライバシーや個人の安全が脅かされる可能性があります。アプリケーションは、カレンダーデータを機密情報として扱い、プライバシーを守るために細心の注意を払って管理する必要があります。

例 1: AndroidManifest.xml の <uses-permission .../> 要素では、READ_CALENDAR 権限の使用を宣言しています。この権限により、アプリケーションはユーザーのカレンダー データを読み取ることができます。

 <uses-permission android:name="android.permission.READ_CALENDAR"/> 

例 2: AndroidManifest.xml の <uses-permission .../> 要素では、WRITE_CALENDAR 権限の使用を宣言しており、これにより、アプリケーションがユーザーのカレンダー データに書き込むことが可能になります。

 <uses-permission android:name="android.permission.WRITE_CALENDAR"/> 

この権限には「危険」の保護レベルが設定されています。危険と指定された権限は、ユーザーのデータのプライバシーやデバイスの動作に対するリスクが高まることを意味します。この場合、通話ログへのアクセスは、ユーザーのプライバシーや個人の安全を脅かす可能性があります。通話ログへのアクセスが必要なアプリケーションは、細心の注意を払って管理する必要があります。

例 1: AndroidManifest.xml の <uses-permission .../> 要素では、READ_CALL_LOG 権限の使用を宣言しています。この権限により、アプリケーションはユーザーの通話ログを読み取ることができます。

 <uses-permission android:name="android.permission.READ_CALL_LOG"/> 

例 2: AndroidManifest.xml の <uses-permission .../> 要素では、WRITE_CALL_LOG 権限の使用を宣言しています。この権限により、アプリケーションがユーザーの通話ログに書き込むことができるようになります。

 <uses-permission android:name="android.permission.WRITE_CALL_LOG"/> 

この権限には「危険」の保護レベルが設定されています。危険と指定された権限は、ユーザーのデータのプライバシーやデバイスの動作に対するリスクが高まることを意味します。この場合、カメラへのアクセスは、ユーザーのプライバシーや個人の安全を脅かす可能性があります。カメラへのアクセスを必要とするアプリケーションは、細心の注意を払って管理する必要があります。

例 1: AndroidManifest.xml の <uses-permission .../> 要素では、アプリケーションがデバイスのカメラにアクセスすることを可能にする CAMERA 権限の使用を宣言しています。

 <uses-permission android:name="android.permission.CAMERA"/> 

この権限には「危険」の保護レベルが設定されています。危険と指定された権限は、ユーザーのデータのプライバシーやデバイスの動作に対するリスクが高まることを意味します。この場合、連絡先情報へのアクセスは、ユーザーのプライバシーや個人の安全を脅かす可能性があります。アプリケーションは、連絡先データを機密情報として扱い、細心の注意を払って管理する必要があります。

例 1: AndroidManifest.xml の <uses-permission .../> 要素では、READ_CONTACTS 権限の使用を宣言しています。この権限により、アプリケーションはユーザーの連絡先データを読み取ることができます。

 <uses-permission android:name="android.permission.READ_CONTACTS"/> 

例 2: AndroidManifest.xml の<uses-permission .../> 要素では、WRITE_CONTACTS 権限の使用を宣言しています。この権限により、アプリケーションはユーザーの連絡先データへの書き込みが可能になります。

 <uses-permission android:name="android.permission.WRITE_CONTACTS"/> 

例 3: AndroidManifest.xml の<uses-permission .../> 要素では、GET_ACCOUNTS 権限の使用を宣言しています。この権限により、アプリケーションは、Account Manager に保存されているユーザーのメール アカウントやオンライン アカウントにアクセスできるようになります。この権限により、アカウント ID、電子メールアドレス、電話番号などの機密データにアクセスすることができます。

 <uses-permission android:name="android.permission.GET_ACCOUNTS"/> 

外部ストレージに書き込まれるファイルに対しては、任意のプログラムやユーザーが、読み取りおよび書き込みを実行できます。プログラムが、機密情報、たとえば個人を特定できる情報を、外部ストレージに書き込むことは避ける必要があります。Android デバイスを USB 経由で PC または他のデバイスに接続すると、USB マス ストレージ モードが有効になります。このモードでは、外部ストレージに書き込まれたすべてのファイルを読み取って変更できます。また、外部ストレージ内のファイルは、それらを書き込んだアプリケーションがアンインストールされた後もそこに残るため、ファイルに保存されている機密情報が危険にさらされるリスクがさらに高まります。

例 1: AndroidManifest.xmlの <uses-permission .../> 要素では、WRITE_EXTERNAL_STORAGE 権限の使用を宣言しています。この権限により、アプリケーションが外部ストレージに書き込むことができるようになります。

 <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/> 

例 2: AndroidManifest.xml の <uses-permission .../> 要素では、READ_EXTERNAL_STORAGE 権限の使用を宣言しています。この権限により、アプリケーションが外部ストレージから読み取ることができるようになります。

 <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/> 

デバイスを無効にする権限を要求または付与する、正当な理由はありません。

例 1: プログラムで、この権限を決して呼び出さないことが必要です。

 <uses-permission android:name="android.permission.BRICK"/> 

GPS 位置情報にアクセスされると、ユーザーのプライバシーと安全が脅かされる恐れがあります。GPS 位置情報にアクセスするプログラムは、最大限に注意してその利用を管理する必要があります。

例: 次のコードは、電話の位置情報に関する更新情報を受信することを要求しています。

lm.requestLocationUpdates(LocationManager.GPS_PROVIDER, 1000, 0, locationListener);

SMS 操作を実行するときには、十分に注意する必要があります。悪意のあるソフトウェアがこれらの API を悪用して、不用心なユーザーからお金およびデータを盗み出す場合があります。

例: この場合、プログラムはテキストベースの SMS を送信しています。

sms.sendTextMessage(recipient, null, message, PendingIntent.getBroadcast(SmsMessaging.this, 0, new Intent(ACTION_SMS_SENT), 0), null);

この権限には「危険」の保護レベルが設定されています。危険と指定された権限は、ユーザーのデータのプライバシーやデバイスの動作に対するリスクが高まることを意味します。この場合、デバイスのマイクにアクセスすると、ユーザーのプライバシーや個人の安全が脅かされる可能性があります。マイクへのアクセスを必要とするアプリケーションは、細心の注意を払って管理する必要があります。

例 1: AndroidManifest.xml の <uses-permission .../> 要素では、RECORD_AUDIO 権限の使用を宣言しています。この権限により、アプリケーションはデバイスのマイクを使用してオーディオを録音できるようになります。

 <uses-permission android:name="android.permission.RECORD_AUDIO"/> 

この権限には「危険」の保護レベルが設定されています。危険と指定された権限は、ユーザーのデータのプライバシーやデバイスの動作に対するリスクが高まることを意味します。この場合、悪意のある攻撃者が Bluetooth 機能を使用してデバイスの位置を監視したり、脆弱性を悪用してデータを盗聴したり収集したりする可能性があるため、近くのデバイスへの Bluetooth アクセスがユーザーのプライバシーと個人の安全に危険をもたらします。近くのデバイスへの Bluetooth アクセスを必要とするアプリケーションは、細心の注意を払って管理する必要があります。

例 1: AndroidManifest.xml の <uses-permission .../> 要素は、アプリケーションが近くの Bluetooth デバイスにアドバタイズできるようにする BLUETOOTH_ADVERTISE 権限の使用を宣言します。

 <uses-permission android:name="android.permission.BLUETOOTH_ADVERTISE"/> 

この権限には「危険」の保護レベルが設定されています。危険と指定された権限は、ユーザーのデータのプライバシーやデバイスの動作に対するリスクが高まることを意味します。この場合、送信された通知に機密情報が含まれていると、通知へのアクセスがユーザーのプライバシーと個人の安全に危険をもたらす可能性があります。通知を送信するためにアクセスする必要があるアプリケーションでは、細心の注意を払って通知を管理し、通知メッセージ内の機密データの漏洩を防ぐための予防措置を講じる必要があります。

例 1: AndroidManifest.xml の <uses-permission .../> 要素は、アプリケーションがデバイス ユーザーに通知を送信できるようにする POST_NOTIFICATIONS 権限の使用を宣言します。

 <uses-permission android:name="android.permission.POST_NOTIFICATIONS"/> 

この権限には「危険」の保護レベルが設定されています。危険と指定された権限は、ユーザーのデータのプライバシーやデバイスの動作に対するリスクが高まることを意味します。この場合、オーディオ ファイルにアクセスすることで、ユーザーのプライバシーや個人の安全が脅かされる可能性があります。オーディオ ファイルへのアクセスを必要とするアプリケーションは、細心の注意を払って管理する必要があります。

例 1: AndroidManifest.xml の <uses-permission .../> 要素は、アプリケーションがデバイス上の音楽およびオーディオ ファイルを読み取ることができるようにする READ_MEDIA_AUDIO 権限の使用を宣言します。

 <uses-permission android:name="android.permission.READ_MEDIA_AUDIO"/> 

この権限には「危険」の保護レベルが設定されています。危険と指定された権限は、ユーザーのデータのプライバシーやデバイスの動作に対するリスクが高まることを意味します。この場合、写真およびビデオ ファイルへのアクセスは、ユーザーのプライバシーや個人の安全を脅かす可能性があります。写真およびビデオへのアクセスが必要なアプリケーションは、細心の注意を払って管理する必要があります。

例 1: AndroidManifest.xml の <uses-permission .../> 要素は、アプリケーションがデバイス上のビデオ ファイルを読み取ることができるようにする READ_MEDIA_VIDEO 権限の使用を宣言します。

 <uses-permission android:name="android.permission.READ_MEDIA_VIDEO"/> 

録音操作を実行するときには、十分に注意する必要があります。 悪意のあるソフトウェアがこれらの API を悪用して、不用心なユーザーからお金およびデータを盗み出す場合があります。

この権限には「危険」の保護レベルが設定されています。危険と指定された権限は、ユーザーのデータのプライバシーやデバイスの動作に対するリスクが高まることを意味します。この場合、ボディ センサーへのアクセスは、ユーザーのプライバシーや個人の安全を脅かす可能性があります。ボディ センサーへのアクセスを必要とするアプリケーションは、細心の注意を払って管理する必要があります。

例 1: AndroidManifest.xml の <uses-permission .../> 要素では、BODY_SENSORS 権限の使用を宣言しています。この権限により、アプリケーションは、端末や接続されたウェアラブルに搭載されたボディ センサーや環境センサーからのデータにアクセスできるようになります。

 <uses-permission android:name="android.permission.BODY_SENSORS"/> 

通話の実行または受信に関連する操作は、十分に注意して実行する必要があります。悪意のあるソフトウェアは、これらの API を悪用して、高額の通話料金がかかる電話番号にコールして、不用心なユーザーからお金を盗み出す場合があります。

例: 次のコードは、音声通話の番号を要求しています。

number = tm.getCompleteVoiceMailNumber(); 

インテントの一部の権限では、FLAG_GRANT_READ_URI_PERMISSION や FLAG_GRANT_WRITE_URI_PERMISSION など、通常は外部プログラムに付与できない権限を付与できるようになります。悪意のあるプログラムがこのインテントを傍受すると、指定された URI の読み書き権限を取得します。インテントが明示的ではなく暗黙的な場合、より傍受されやすくなります。

例 1: 次のコードは、権限フラグを設定して、インテント内の URI への書き込みを可能にします。

  myIntent.setFlags(Intent.FLAG_GRANT_WRITE_URI_PERMISSION);