Androidアプリ向けSDKのガイダンスと実動作間の不一致の半自動検知

スマートフォン向けアプリの開発においても，データ収集・共有プラクティスは重大な事項である．ユーザーの同意を得ないなどの不適切なプラクティスのために，アプリ開発者が多額の罰金を課せられた事例がある．2022年7月にGoogle Play Storeにデータセーフティセクションが導入された．これに伴って，サードパーティSDKプロバイダはガイダンスを公開した．アプリ開発者は使用するSDKのガイダンスを参照して，そのSDKのプラクティスを把握し，Googleに申告する．正しい申告を行えるかどうかは，ガイダンスの正確性にかかっている．本稿はこの点に初めて着目し，ガイダンスの収集，解析，誤り調査を行う半自動のアプローチを構築・評価する．識別子に関して，ガイダンスの記述と実際の動作を比較した結果，UUIDに関する不備を5つのSDKで発見した．問題となる設定を再現して議論する．

Data collection and sharing practices are critical in smartphone app development as well as other areas. App developers could be ordered to pay a massive fine due to improper practices, such as obtaining no user consent. In July 2022, Google Play Store introduced the data safety section. Along with this, third-party SDK providers have published guidance pages. App developers should refer to the guidance of the SDKs they use to understand the SDKs' practices and declare them to Google. The correctness of the declaration depends on the accuracy of the guidance. This paper is the first to address this point, and it builds and evaluates a semi-automatic approach to collecting, analyzing, and verifying the guidance. By comparing guidance contents and actual behavior concerning identifiers, we found that five SDKs are failing to disclose their use of UUIDs. We demonstrate the relevant configuration and discuss the issue.