Missing Declaration of Installed Apps Collection in Privacy Policy

プライバシーポリシーにおけるインストール済みアプリの収集に関する宣言の欠落

リスク: medium

概要

この脆弱性はアプリのプライバシーポリシーに存在します。ユーザーのインストール済みアプリの収集について言及されておらず、このデータタイプがPlayのデータセーフティセクションで宣言されているにもかかわらず、ユーザーのプライバシーを危険にさらす可能性があります。

推奨事項

ユーザーのインストール済みアプリデータを収集する脆弱性を軽減するために、プライバシーポリシーでこのデータを収集する目的を明確に述べ、収集する前にユーザーから明示的な同意を得てください。また、不正なアクセスや悪用からデータを保護するための強固なセキュリティ対策を実施してください。さらに、データ収集の慣行における変更を反映するために、プライバシーポリシーを定期的に見直し、更新してください。

リンク

• Android Privacy Guidelines
• Privacy Policies for Mobile Apps
• Apple Privacy Manifest
• CWE-359: Exposure of Private Information ("Privacy Violation")

基準

OWASP_MASVS_L1: * OWASP_MASVS_L2: * OWASP_MASVS_RESILIENCE: * CWE_TOP_25: * GDPR: * ART_5 * ART_6 * ART_7 * ART_9 * ART_11 * ART_13 * ART_15 * ART_16 * ART_17 * ART_32 * CCPA: * CCPA_1798_100 * CCPA_1798_105 * CCPA_1798_110 * CCPA_1798_115 * CCPA_1798_120 * CCPA_1798_125 * CCPA_1798_130 * CCPA_1798_135 * CCPA_1798_140 * CCPA_1798_150 * PCI_STANDARDS: * OWASP_MASVS_v2_1: * MASVS_PRIVACY_1 * MASVS_PRIVACY_2 * MASVS_PRIVACY_3 * MASVS_PRIVACY_4 * OWASP_ASVS_L1: * OWASP_ASVS_L2: * OWASP_ASVS_L3: * SOC2_CONTROLS: * CC_2_3 * CC_5_3 * CNIL_FOR_EDITORS: * EDITORS_3_1_1