誰かがあなたの一挙手一投足を監視しているような不気味な感覚をご存知ですか?誰かが Retina-X Studios, LLC が販売する「ストーカー アプリ」または「ストーカーウェア」をあなたのモバイル デバイスに密かにインストールした場合、その奇妙な感覚は単なる感覚をはるかに超えている可能性があります。 開発者およびマーケティング担当者に対する苦情 FTC法と児童オンラインプライバシー保護法の規則に違反していると主張している。
フロリダに拠点を置く Retina-X と James N. Jones, Jr. は、子供や従業員を監視する方法として 3 つのアプリを販売しました。 MobileSpy は、GPS 位置情報、テキスト メッセージ、写真、通話履歴、ブラウザ履歴などをキャプチャして記録しました。プレミアム バージョンを購入した人は、疑いを持たないユーザーの画面をリアルタイムで表示することもできました。 PhoneSheriff は、同じデータの多くに加えて、電子メールの履歴と、Snapchat を使用したアクティビティのスクリーンショットを監視しました。 TeenShield の iOS 登録プロセスの一環として、Retina-X は監視対象のユーザーの生年月日を収集しました。そのうちの約 3 分の 1 は 13 歳未満でした。インストールされると、TeenShield は GPS 位置情報、テキスト メッセージ、通話履歴、ブラウザ履歴、電子メールをキャプチャしました。 、など。
製品をインストールするには、購入者はデバイスに物理的にアクセスする必要があり、多くの場合、ジェイルブレイクまたは root 化する必要がありました。言い換えれば、デバイスのオペレーティング システムに組み込まれている制限を回避する必要がありました。ソフトウェアが導入されると、購入者はオンライン ダッシュボードからユーザーのアクティビティをリモートで監視できるようになります。デフォルトでは、デバイスにアイコンが表示されます。しかし、Retina-X は、ソフトウェアをインストールした人に、ソフトウェアを非表示にし、ユーザーの知らないうちにアプリをこっそり実行する方法を指示しました。 Retina-Xはプライバシーポリシーで、製品は親の未成年の子供や従業員を監視する目的のみに使用されるように設計されていると主張したが、同社はアプリがそのように使用されることを保証するための措置を講じなかった。さらに、市販されている他の監視アプリではジェイルブレイクやルート化が必要ないのに、なぜ親や雇用主は携帯電話をジェイルブレイクしたりルート化して Retina-X ソフトウェアをインストールしたりするのでしょうか?
の 苦情 いくつかの形態の消費者被害を主張している。特に懸念されるのは、ストーカー (家庭内暴力の加害者など) がアプリを使用して被害者の位置情報やオンライン活動を監視し、感情的または身体的危害を加えるために使用する可能性がある情報であることです。ストーカーはこのようなソフトウェアを使用して、被害者の金融口座を強奪する可能性もあります。少なくとも、何の疑いも持たないユーザーのデバイスに Retina-X のアプリをインストールした人は、デバイスの保証を無効にし、デバイスがジェイルブレイクされた場合によくあるセキュリティ リスクの増加にユーザーをさらした可能性があります。
さらにFTCは、Retina-Xがアプリが収集した機密データ、特に監視対象の子供から収集した情報を保護するための基本的な措置を講じていないと主張している。たとえば、同社は明文化されたセキュリティ標準を整備しておらず、既知の脆弱性に対するセキュリティ テストを実施していませんでした。さらに、訴状では、他社製品を監視する自社製品の機能を宣伝しながら、Retina-Xが自社のサービスプロバイダー(Retina-Xのアプリを開発し、サーバーを管理し、支払い処理を行った会社)を監視するための適切な措置を講じなかったと主張している。 、マーケティングおよびカスタマーサポートサービスを提供しました。
MobileSpy、PhoneSheriff、および TeenShield のプライバシー ポリシーには、次のような同じ穏やかな文言が含まれていました。 。 。 。あなたの個人情報は私たちにとって安全です。」しかし、2017 年に TeenShield Android パッケージ キット内で同社のクラウド ストレージ アカウントの暗号化されていない認証情報を発見したハッカーには、誰もそのことを教えませんでした。ログインすると、ハッカーは Retina-X サーバーのユーザー名とパスワードを見つけました。それが「オープンセサミ!」です。ハッカーは、PhoneSheriff と TeenShield を通じて収集された機密データにアクセスし、それを完全に消去する必要がありました。 Retina-X は、2 か月後、ハッカーから証拠を受け取ったジャーナリストが同社に連絡するまで、このハッキングについて知りませんでした。
1 年が経ち、ハッカーが再び同社のクラウド ストレージ アカウントの資格情報を発見しました。今回は PhoneSheriff Android パッケージ キットからでした。認証情報は、同社の用語を使うと「難読化」されていましたが、ハッカーは依然として認証情報を解読できました。今回、ハッカーはクラウド ストレージ アカウント内のすべての写真を消去しました。
の 苦情 不正行為または慣行が 1 件、欺瞞が 3 件含まれます。さらに FTC は、Retina-X が TeenShield 製品を通じて 13 歳未満の子供から個人情報を故意に収集したが、契約を遵守しなかったと主張している。 CUPルールデータの機密性、セキュリティ、完全性を保護するための合理的な手順を維持するという の要件。
事件を解決するにはRetina-XとJames N. Johns, Jr.は、収集したデータを削除し、脱獄やroot化が必要な製品を販売しないことに同意しました。さらに、将来的には、子供や従業員、または書面で同意した大人を監視する目的でのみアプリを使用するという声明を購入者から得る必要がある。また、子供の携帯電話にアプリをインストールした親だけが削除できるアプリ名のアイコンを含める必要もあります。他の最近のデータ セキュリティに関する和解に合わせて、情報セキュリティ プログラムについて 2 年ごとに第三者による評価を受ける必要があります。
一度 和解案 連邦公報に掲載された場合、FTC は 30 日間パブリックコメントを受け付けます。それまでの間、他の企業がこの事例から得ることができるヒントを以下に示します。
- モニタリング製品を販売する場合は、細心の注意を払ってください。 製品が合法的な目的にのみ使用されるように、合理的な措置を講じてください。たとえば、組み込みのオペレーティング システムやデバイスのセキュリティ保護機能の回避を要求しながら、製品がどのように使用されているかについて無知であると主張することはできません。
- 集めたら守ってください。 あらゆる形式の機密データを収集するには、それを所有するときに保護する義務が伴います。 COPPAの対象となる情報であれば、 規則のセクション 312.8 特別なデータ保護を導入します。
- 3度の熱傷を避けるための措置を講じてください。 サードパーティのサービス プロバイダーと連携する場合は、データ セキュリティに関する期待を契約に明記し、それが確実に遵守されていることを確認するための監視メカニズムを組み込んでください。 COPPA の対象となる情報が関係する場合、 セクション 312.8 COPPA 規則のこの要件は、次の要件を強調しています。「(T) 子供の個人情報を、そのような情報の機密性、セキュリティ、完全性を維持する能力があり、維持する保証を提供するサービスプロバイダーおよび第三者にのみ公開するための合理的な措置を講じてください。」そのような方法で情報を提供します。」
