パスワードを忘れた? アカウント作成
13640087 story
Google

Google、サードパーティアプリ開発者がユーザーのGmailを読めることを否定せず 26

ストーリー by hylom
ただしOAuthでの認証の必要あり 部門より
headless曰く、

Googleがサードパーティアプリ開発者にユーザーのGmailメッセージ閲覧を認めているというWSJの報道を特に否定することもなく、Gmailのセキュリティとプライバシーについてブログで解説している(The KeywordブログVentureBeatThe VergeNeowin)。

WSJの報道内容はGoogleがGmailでメール内容を読み取ってそれにマッチした広告を表示することをやめた一方で、数百のサードパーティアプリ開発者に受信トレイのスキャンを許可しており、場合によっては人間のエンジニアがメッセージの内容を閲覧しているというもの。記事では悪用が確認されているわけではないとしつつ、機械学習で必要なデータを抽出するためにエンジニアがユーザーの電子メールを読む、といったサードパーティ開発者の慣行を紹介している。なお、GmailだけでなくMicrosoftやYahooの電子メールについても同様の処理が行われていることも示唆されている。

これに対しGoogleでは、アプリにGoogleアカウントへのOAuthアクセスを認める前に審査を行い、ポリシー違反が確認されたら許可を停止するなど、ユーザーの選択を可能にする一方で不正アプリから保護していると主張する。また、Google以外のアプリについては事前にアクセスするデータを明示してユーザーの許可を求めており、GoogleアカウントのSecurity Checkupでアクセス許可を閲覧・削除できることなどを説明している。

ただし、審査に通ってしまえば不正の有無をGoogleが確認するのは困難になるとみられる。また、ユーザーに許可を求める画面ではアプリが電子メールにアクセスすると表示されるが、これで開発者が電子メールを読むことがあるとは認識できない点も指摘されている。

  • 釣り記事 (スコア:1, 参考になる)

    by annoymouse coward (11178) on 2018年07月06日 15時40分 (#3438393) 日記

    パスワードを入力すればアプリはサーバー上のデータを自由にアクセスできる.
    ただそれだけの話.

    それに「Google、サードパーティアプリ開発者がユーザーのGmailを読めることを否定せず」なんて
    小難しいタイトルをつけるから,勘違いした一部の人が大騒ぎしている

    アプリ側で,たとえばメールアドレスを別アプリの住所録に登録しようが
    受信したメールの文面をライバル会社に転送しようがそれはユーザ側の問題.
    それはユーザがどうデータを使うか?ユーザがどうやって情報を流出させるか?という話で
    あってgoogleは関係ない

    ここに返信
    • by Anonymous Coward on 2018年07月06日 23時07分 (#3438697)

      今回の話に関して言えば、その言い方はちょっと違う。
      パスワードを直接、クライアントプログラムに渡さないためのOAuth。
      もちろん、実際にはIn-App-Browserで結局パスワード入力してるとか問題がないわけでもないけど。

      今回の問題は、OAuthで与えている権限の範囲や、それをユーザーに提示する方法がマズいなどの部分。

      • by Anonymous Coward

        いや、問題は、ユーザーはローカルアプリに読み取り権限渡してるつもりなのに、サードパーティ開発者側に渡ってしまってて、裏で見られた、ってことでしょ。
        悪いのはGoogleじゃなくサードパーティ。サードパーティがその読み取り権限をどう扱うか、ユーザーに提示してない、もしくはユーザーが確認してない、のが問題。

    • by Anonymous Coward

      まだちょっと分からない。
      Gmailのマッチング広告は人間が読むんじゃなくて、機械が読んでるんだよね。
      それで、サードパーティアプリってのは、プレイストアのアンドロイドアプリの事で合ってる?
      メールアプリとかでメール受信箱にアクセス出来る場合は、開発者側からメール内容を閲覧される可能性があるって話?

      それとも、Twitterの代理ツイートみたいな、外部サイトへ権限を委譲するようなサービスのこと?

      記事が主観的というか、感情的というか、問題を知らない人に説明する事を放棄しているように読めますね。

      • by Anonymous Coward

        普通にOAuthで権限譲渡する際にGmailを読ませる権限渡してる件だと思うのだがな
        そりゃ、Gmail読めると明示してるんだからそのとおりだろ?ってだけの話
        俺が使ってるアプリにそういうのは見たことないけど、あるってことなんじゃないの?

  • by junichi308 (15687) on 2018年07月06日 15時45分 (#3438398)

    電子メールは平文で送信されるものだからプライバシーが確保されていると
    思っていること自体が間違いなのにね。

    ここに返信
    • by Anonymous Coward

      すでにEnd to Endで暗号化通信に対応できてるでしょ
      もちろん、TLS対応してない古いメールサーバだと平文に通信されるけど

      • by Anonymous Coward

        End to End暗号化はPGPとかS/MIMEとかあるけどそれは違う。
        そもそもウェブメールがある限りサーバーより先の暗号化はまず無理。
        拡張機能でできなくもないし、HTML6とかでブラウザの秘密鍵で手軽にデコードする機能みたいなのが追加されたりすれば容易だろうけど。
        メーラーも少なくとも気楽に誰もが使えるような状況ではない。
        そんなに難しいもんでもないんだけど、End to Endはメールサーバーや国家にとっていろいろ厄介だからみんなあまり積極的にはならない。

        • by Anonymous Coward

          Web Cryptography API
          https://www.w3.org/TR/WebCryptoAPI/ [w3.org]
          これでもうできると思われ。
          パスワード管理サービスの1passwordがこれでウェブブラウザ上で復号してパスワード扱えるようにしてるぽい。

          メールだと他人の公開鍵管理とかもあるしめんどくさそうではある。

      • by Anonymous Coward

        EndToEndというと普通はS/MIMEとかPGPを思い浮かべてしまうが・・・
        だいたいが、ユーザーからメールサーバー(SMTP/IMAP)は暗号化してるけど、サーバー間の経路まで暗号化してるのはまだ大手くらいじゃなかろうか。

        Google透明性レポート(Gmailとやりとりするクライアント・サーバーの暗号化状況)
        https://transparencyreport.google.com/safer-email/overview?hl=ja [google.com]

        hotmailとかiCloudとかoutlookなどの大手は当然対応済みだけど、
        日本の携帯キャリアメールやYahooJapanメールなどは壊滅ですな。

        • by Anonymous Coward

          大手かどうかじゃなくて、MTAの仕様の問題でしょう。Eximはちゃんとした証明書が設定してあって相手が対応していれば、TLSで送信するのがデフォルト。Postfixは違うみたいね。

      • by Anonymous Coward

        経路が如何に暗号化されていようが、メールクライアント自身は読むことができると言う当たり前の話

  • by Anonymous Coward on 2018年07月06日 15時35分 (#3438385)

    同意をとっているということであれば、何が問題なのかがよくわからない。同意の取り方がどっかの国の規制に違反したということなのであれば問題だとは思うが。

    同意をとる以上にどうすればGoogleは良かったんだろう。そもそも読ませるな、ということ?
    それともサードパーティアプリ開発者がメール内容を見れること自体が不必要なのにそれをさせるな、という問題?

    ここに返信
    • by Anonymous Coward on 2018年07月06日 20時48分 (#3438631)

      簡単に第三者に個人情報を漏洩してしまうから、業務に使うのは無理ですね。
      皆さんのところでは、まさか変な営業に騙されてG Suiteなど使ってはいませんよね?

      • by Anonymous Coward

        サービスに対してGmailの閲覧権渡せばそりゃサードパーティはメール見れます
        これって要はそれだけの話だぞ?
        Gmail登録したら即座にサードパーティからメール見られちゃうってことじゃないぞ?

    • by Anonymous Coward
      • (全員が全部読まない事は明らかな規約に潜ませるとかではなく)明確で分かりやすい説明を行い同意を得る。
        • 「これをクリックすると~社の人間があなたのメールを直接読みます。機械的処理だけではありません。」とか。
      • 自社が関係しているプライバシーが関わる事案を公表・発表をする。

      これをやっておけばそもそも問題にはならなかったしこの話はGoogle自体から聞いていたはず。
      今回の場合は前者はやっていたとしているが後者に欠けていたようだ。
      他人のプライバシーをどう扱っているかだって消費者にとっては重大情報だからな。

    • by Anonymous Coward
      >それともサードパーティアプリ開発者がメール内容を見れること自体が不必要なのにそれをさせるな、という問題?
      Yes.
      ユーザはアプリでメールを読むことを期待しているが、
      アプリがメールを読むことは期待していない。
      • by Anonymous Coward

        sradの記事しか読んでないけど、
        「アプリが電子メールにアクセスすると表示」のを許可しているのに
        アプリがメールを読むことは期待していないってどういう状況?

        • by Anonymous Coward

          一般人は郵便配達員が郵便の中身をすべて見ることが可能だとは思っていない

        • by Anonymous Coward

          http://stomita.hatenablog.com/entry/2018/07/04/133952 [hatenablog.com]

          >ではその記事は何が問題だと言っていたのか。それは「human engineers」が(機械に学習させるために)ユーザのメール内容を読めることがあった、という点についてである。

          >つまり、ユーザはプログラムに読まれることは同意時に想定していただろうが、それを(3rdパーティベンダーの中の)人間に見られることについては想定してないだろう、

          あと、上記記事は「人間に見られる」ことだけを問題にしているが,純粋に機械(プログラム)が読むにしても、それを「メール送受信に必要な範囲でクライアントプログラムが読む」のと「機械学習のためにEdison社内のAIプログラムが読む」のは違うだろう。

    • by Anonymous Coward

      Googleはどうしようもないんじゃないかな。ユーザー自身が権限わたしてんだし。

      確か、その昔、iOSのサードパーティ製Emailアプリでも、プッシュするため、認証情報をすべてサーバー側に預けて、サーバー側でフェッチして新しいものがあれば通知する、
      とかいう実装してたアプリがあった。たしか、MSのOutlookもそんな感じだった気がする。
      それだとそりゃサードパーティ側にメールが全部集まってんだから、見れちゃいますよね。

    • by Anonymous Coward

      同意を取れば何をしても非難されない世の中ではないからね。

      それはそうとメールには相手がいるわけで、Gmailの規約に同意していない人が書いた文章がサードパーティーに公開されるのも問題だよね。

  • by Anonymous Coward on 2018年07月06日 16時38分 (#3438454)

    むしろGoogleがユーザのプライバシを少しでも気にかけるなんて
    なんで思えるのか、そっちのほうが不思議。

    ここに返信
    • by Anonymous Coward

      Googleは自社の商売に支障がない範囲では、かなりユーザーのプライバシー保護を考えてるよ。
      ある程度はプライバシーを守る方がユーザーが集まって商売しやすいしね。

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...