複数のスマホアプリがユーザーに無断でFacebookに情報を送信していたとの指摘 65
GoogleとFacebookの闇 部門より
プライバシ保護に関する活動を行なっている非営利団体Privacy Internationalが12月29日、複数のAndroidアプリが利用者の合意なしにFacebookに利用者の情報を送信しているとの調査結果を公開した(日経新聞、共同通信)。
以前の調査では、Google Play上で公開されている無料アプリのうち42.55%がなんらかの情報をFacebookに送信していたことが判明していたそうだが、今回の調査では34のAndroidアプリを対象とし、Facebookに情報を送信しているか、また送信している場合はどのように情報を送信しているかについて検証されている。
検証結果としては、まずテスト対象のアプリのうち61%がアプリの起動時(アクティベート時)や終了時(デアクティベート時)にデータをFacebookに送信していたという。このデータ送信はFacebookにログインしていなかったり、Facebookにアカウントを作成していない場合でも行なわれていたという。これはこういったアプリで使われている「Facebook SDK」によるものと思われ、これによってFacebookはアプリの起動頻度などを収集できるという。
また、一部のアプリはユーザー固有のID(google advertising ID)の送信も行なっていたという。この情報をユーザーアカウントと紐づけることで(使用したアプリなどから)ユーザーの属性を推測できるという。さらに、よりセンシティブなデータを送信するアプリも確認されており、例えば旅行プランの検索・価格比較アプリ「KAYAK」では出発地や出発時刻目的地および到着時刻、チケットの数、チケットの種別を含むユーザーのフライト情報検索結果を送信していたそうだ。
今回調査対象となったアプリのうち、起動時などに情報を送信しているものとしてはSpotifyやIndeed job Searchが挙げられている。
プリンタからの勝手な送信も大概 (スコア:5, 興味深い)
EPSONのビジネスインクジェットが時々どこかに勝手にアクセスしているようなので
Linux鯖の裏側に置いてtsharkかけたら、自動アップデートさえオフにしてるのにEpsonやGoogleやTwitterにアクセスしていた
気持ち悪いので外出禁止でLAN内アクセスのみ許可したVLANをこさえて放り込む
最近のデバイスは全般的に信用がおけないから時々wiresharkかけることをお勧めする
例えばAmazonのKindle HDが、使っていない時でも一体どれだけの頻度でAmazonにアクセスしているか知ったら戦慄が走ると思う
スマホアプリの勝手アクセスがどうのこうの言ってる場合じゃない
掃除ロボットやスマートスピーカーやスマート家電などの、デバイスが行う勝手アクセスにもっと神経を尖らせるべき
Re:プリンタからの勝手な送信も大概 (スコア:1)
家庭内でしか使用しないなら固定IPにするなどして、
デフォルトルートが付かないようにすると楽ですよ。
インターネットへ行けないならデバイスに裏口があっても(インターネット経由では)進入されませんし。
さらに、
PCや自宅サーバにProxyサーバ入れて、そっち経由で通信させると、接続先のログ取れますので、
怪しい機器やテレメトリなどの送信があるデバイスはProxy経由だけで外に出れるようにすると特定のあて先を無効にできます。
[Q][W][E][R][T][Y]
Re: (スコア:0)
EPSONのビジネスインクジェットが時々どこかに勝手にアクセスしているようなので
Linux鯖の裏側に置いてtsharkかけたら、自動アップデートさえオフにしてるのにEpsonやGoogleやTwitterにアクセスしていた
wiresharkのログ付きでEPSONに問い合わせてみたらどうか?
今後はルーターとかVLAN構築の知識が本気で必要になるな、その辺の知識をもっと強化したほうがよさそう
Re: (スコア:0)
まぁ無知の利用者ですらわからん可能性があるが
最近のプリンタって多機能すぎて、クラウドプリント可能なんだよな
アップデートを無効にすれば、外に出ないという考え自体
幼稚
Re: (スコア:0)
そういうのがあるので、デバイスはできるだけLAN内蔵ではないものを選んでるんだけど、Windowsだとドライバが通信してるから同じかもしれない。
そもそもなんでLAN内でしか通信の必要がなさそうな家庭用プリンタとかにデフォルトゲートウェイの設定が必要なのかが謎。
まあ、利用状況のデータとか取ってるんでしょうけど、Googleは可能性としてありそうでもTwitterは変ですね。
ルータのパケットフィルタでデバイスからの通信は落とすように設定するのがいいかも。
Re: (スコア:0)
>> 例えばAmazonのKindle HDが、使っていない時でも一体どれだけの頻度でAmazonにアクセスしているか知ったら戦慄が走ると思う
そもそも勝手にアレクサが動いてるからその関係じゃないのか?
裏で動くアレクサを殺すツールでも作ろうかと思ってる今日この頃。
(アンインストールしても勝手に再インストールされる)
Re: (スコア:0)
androidを自分でビルドして入れれば
Re:プリンタからの勝手な送信も大概 (スコア:1)
動画系のアプリってセキュリティの関係で
ルートを開放しただけで動かなくなるの多いんだが。
その手の寝言を言ってる人間って
スマホとかタブレットを何に使ってるの?
Re: (スコア:0)
できるもんなら当然そうしてます。そこらで叩き売ってる中古スマホに投入できるなら。ソースだけあってもダメです。
Re: (スコア:0)
色々ただでサービス使わせてもらってるからプライバシーはある程度しょうがないかと思ってるけど、バッテリーと通信容量を無駄に消費されてると思うとやっぱり良い気はしないね。気休め程度にデータセイバーをOnにして位置情報はマップのみ許可してAndroid使ってるけど、
ユーザ側には対処のしようがない (スコア:1)
ぶっちゃけAndroidでは、アプリが実際にはどんなデータを読み取ってるか、何を送受信してるかなんか、よくわからないからね。
「広告のため」「クラウドにアプリのデータを送信するため」通信の許可をしていても、アプリの動作目的以外の通信を許可しないようにはできないし。
noRootFirewallを入れたりして、BaiduやFacebookと通信しようとするアプリは遮断するとしても、amazonawsとかは遮断するのも躊躇われる。
#iOSはユーザじゃないのでよく分からない
Re:ユーザ側には対処のしようがない (スコア:4, 参考になる)
iOSだとFirewallのインストールや設定もできないので、アクセスを止めることさえできない。
アプリ単位でモバイル通信の利用を不可にはできるがWiFiを止めることはできない。
ので、怪しいアプリは使うな、以外に自衛の道はない。
Re: (スコア:0)
iOSでも、一応AdGuard Proとか使えばDNSを引くときのホスト単位での遮断はできないことはないですよ。
https://adguard.com/ja/adguard-ios-pro/overview.html [adguard.com]
Re:ユーザ側には対処のしようがない (スコア:2, おもしろおかしい)
だからこそアプリが全然増えないWindows Phoneは安全なのです!
Re:ユーザ側には対処のしようがない (スコア:2)
Re:ユーザ側には対処のしようがない (スコア:1)
パッチはAndroidよりiOSな感じですが、今年でお終いです。
サポート切れもライフサイクルに載ってる [microsoft.com]。
Re: (スコア:0)
Windows Phoneどうして死んでしまったの…
スマホの世界ではMicrosoftの律儀さは貴重だった。
Re: (スコア:0)
律儀だからさ
だいたい何やっても許される無法地帯のウィンドウズに慣れきったプログラマを当てにしたのが間違い
Re:ユーザ側には対処のしようがない (スコア:1)
それ以前にセキュリティがガチガチで悪質なアプリを作りづらいってのもあるけどな。
アプリ作成の自由度が低いからアプリが増えない要因にもなっているんだけどな。
Re:ユーザ側には対処のしようがない (スコア:1)
昔あったドコモのiアプリ(Javaベース)はアプリをダウンロードしたサーバとの通信しか許可されていなかったり、
電話帳のテキストは特別な文字列クラス(XString型)になっていて、外部へデータ送信することが仕様上できなくなっていたり(String型には提供されていても、XString型には提供されていない)
何でもできるAndroidアプリと比べると極めてセキュアな仕様になっていたけど、
反面アプリをブラウザのような使い方するにはダウンロードサーバがプロキシサーバにならなければならなくて利便性には欠けていた。
ほんと、利便性とセキュリティは表裏一体。
Re: (スコア:0)
DX なら XStringもStringに変換できたし、ダウンロードしたサーバー以外との通信もできたので、ベンダ登録さえすれば、そこまで厳しくもなかったけどね。
もちろん登録ベンダなので、変なことやればすぐに登録破棄されちゃってたわけだが。
Re: (スコア:0)
昔のAppleが言っていた「MacOSは安全」と同じ理論なので、簡単には笑えないなぁ
Re: (スコア:0)
貴方のコメントを見る限り貴方がiOS向けアプリが実際にどんなデータを読み取っていて何を送受信しているか把握しているようには思えないな。
せいぜい何がどこと送受信しているか把握している程度に見える。
だいたいaws経由でbaiduやfbに送信されたらどうしょうもないし
あとはなんでandroidではよくわからないのかがわからない
ほかはわかるのか他を知らないのか
部門名 (スコア:1)
GoogleとFacebookの闇 部門
これ単にFacebookがGoogleが付与してるIDを勝手にトレースに使ってただけで、Googleの闇とか関係なくね?
Re: (スコア:0)
今回の件に限るとそうだけど、
両者ともえげつないほどの貪欲さで情報を集めまくってる企業として共通。
AmazonやAppleも集めはするだろうが、情報(広告)で食ってない分、前者たちより遥かにクリーンなイメージ。
Re: (スコア:0)
今回の件に限るとそうだけど、
両者ともえげつないほどの貪欲さで情報を集めまくってる企業として共通。
「普段から悪いことしてる奴は、関係ないことでも悪者扱いしていい」という論調は流石に同意できない。
というか、そのような物言いを是とするなら、最早「どこが悪いのか」を話題にする必要すらなくなる。「あいつは普段から悪いことをしているから、今回も悪いことに関わっているに違いない」と思考停止して糾弾すれば良いのだから。
AmazonやAppleも集めはするだろうが、情報(広告)で食ってない分、前者たちより遥かにクリーンなイメージ。
広告に関してだけで比較するのも如何なものか。末端労働 [srad.jp]
Re: (スコア:0)
有耶無耶にして誤魔化すのはGoogleの得意技でもある
Re: (スコア:0)
Google+とかな
そんなルートがあったのか・・・ (スコア:0)
はじめからFacebookはアプリが入ってたりすることが多いので、
即アンインストールや無効化したりしてたけど、そんなルートで情報が流れてるのね・・・。
もう、Facebook絡みのものは半ばスパイウェアといってもいいのではないだろうか??
#ゲームと信用できるもの以外のアプリ・Webアクセスは専用に1台用意してるけど、無駄な抵抗だったか。
Re:そんなルートがあったのか・・・ (スコア:1)
アプリで無くても表面上はFacebookに触れられて無いけれど
サイト内にJavaScriptでFacebookSDK利用してるのも増えてる気がします
androidもiOSと言うよりスマートフォンと言うソリューション自体、個人情報を切り売りして利便性を得ているのである程度は仕方が無いのかも・・・
Re: (スコア:0)
FacebookとFacebookAppManagerを無効にしてるのにいつの間にかに
キャッシュとかのファイルサイズが増えてるのが気持ち悪い。
透過プロキシ (スコア:0)
WiFi で自前のルータ経由で通信させてログを取ると面白そう。ファイアウォールで http(s) 以外のパケットも見える。
最近はラズパイとかで安価に構築できるよね。
Re:透過プロキシ (スコア:1)
おまえは透過プロキシを勘違いしている
Re: (スコア:0)
やってみてから言うのがいいと思うぞ。
半年もすればmicroSDが何枚か飛んで諦める。
外に出る単一経路にそんなもの入れる気はしなくなるよ。
SDKの中身なんて見ないからな (スコア:0)
> However, the default implementation of the Facebook SDK is designed to automatically transmit event data to Facebook.
『デフォルトではFacebook SDKは勝手にデータをFacebookに送る』と書かれている
SDKが何を送ってるかなんてアプリ作ってる連中も知らんだろう
今回名指しされたところの半分は自分でも驚いてるんじゃないか?
Re: (スコア:0)
ウェブサイトなんかだとリベートあったはず
個人データ売買は金になります
Re: (スコア:0)
「Facebookでログイン」
Spotifyは (スコア:0)
アカウント設定のどっかに「Facebookにデータを送信する」みたいなのがありますよね。
確かデフォルトでON、オプトアウトは可能というよくあるパターン。
これをOFFにしても送るのかなあ???
Google Play開発者サービスは大丈夫なのかなぁ? (スコア:0)
最近のアプリの広告はアプリ自身でネットーワーク接続して広告を取得するのではなく
Google Play開発者サービスを通してか、Google Play開発者サービスのデータから
取得しているみたいだし。
そういえば (スコア:0)
どこぞの通話・会話ソフトにもこのFacebookのSDK使ってたな
通信する理由は、電話帳にアクセスするために組み込まれてるとかいってた気がするが
遮断しても構わないが自己責任と返事が来ていた気がするが
スマホにファイアウォール導入して遮断して使うのは自然ではないか…
Re: (スコア:0)
そのSDKがアプリ開発者も知らないところで余計な情報送るようなクソだったりするから困る。
しかも切ったらおかしくなるので切れないとか。
ネット起業からの問い (スコア:0)
「○○のために常時SSL化を急がないとね。」
○○に入る文言を答えよ。
Re: (スコア:0)
まるまる
Re: (スコア:0)
SEOですかね?
あとはサイトがスマホ対応してないと検索順位が下がるんでしたっけ?
Re: (スコア:0)
「うるさいアレゲユーザーにwiresharkで横からどこに何を通信してるか読み取られないために」
でFAだぜ。
物は書きよう (スコア:0)
>アプリ開発者向けプログラムは外部のアプリにフェイスブックのアカウントでログインできる機能などを提供している。
そりゃ、そうだ
>今回、利用者がフェイスブックのサービスを利用していない場合でも外部アプリの名称や立ち上げた回数などのデータが無断で同社側に送信されていた。
ログインボタン画像を表示してるだけでも、そう言えそう
画像のようですか? (スコア:0)
GET hxxp://graph.facebook.com/v2.8/44***********91?format=json&sdk=android&fields=supports_implicit_sdk_logging%2Cgdpv4_nux_content%2Cgdpv4_nux_enabled%2Cgdpv4_chrome_custom_tabs_enabled%2Candroid_dialog_configs%2Candroid_sdk_error_categories%2Capp_events_session_timeout%2Capp_events_feature_bitmask%2Cseamless_login%2Csmart_login_bookmark_icon_url%2Csmart_login_menu_icon_url HTTP/1.1
User-Agent: FBAndroidSDK.4.25.0
Accept-Language: ja_JP
Content-Type: application/x-www-form-urlencoded
Content-Encoding:
Re: (スコア:0)
JSONでボタンを動作させるための初期値を引っ張ってるだけだろ
GETなんだから、BODYはなくてURLに全部詰まってるはずだよね?
ユーザーの情報はどこに入ってる?
URLの中にそれらしいものは見えないけど?
Re:画像のようですか? (スコア:1)
いや、そういうことじゃなくてさ、(そういうのはCookieでもできるし)
「Facebookでログイン」を使うなら
「そりゃ、シングルサインオン使ううんだからそうだろ、知らなかったのか?」の部分と、
>例えば旅行プランの検索・価格比較アプリ「KAYAK」では出発地や
>出発時刻目的地および到着時刻、チケットの数、チケットの種別を含む
>ユーザーのフライト情報検索結果を送信していたそうだ。
こういうのと、
分けて考えないといけないんじゃないのってことがいいたいのさ
組み込み機器は、オレオレ証明書を受け入れよ。 (スコア:0)
…悪人に突っ込まれると困るのはあるんだけど。
DIPスイッチがONのときだけ書き込めるとかでもいいぞ。
# あなたの443, ノーチェックですか?