パスワードを忘れた? アカウント作成
13806802 story
Facebook

複数のスマホアプリがユーザーに無断でFacebookに情報を送信していたとの指摘 65

ストーリー by hylom
GoogleとFacebookの闇 部門より

プライバシ保護に関する活動を行なっている非営利団体Privacy Internationalが12月29日、複数のAndroidアプリが利用者の合意なしにFacebookに利用者の情報を送信しているとの調査結果を公開した日経新聞共同通信)。

以前の調査では、Google Play上で公開されている無料アプリのうち42.55%がなんらかの情報をFacebookに送信していたことが判明していたそうだが、今回の調査では34のAndroidアプリを対象とし、Facebookに情報を送信しているか、また送信している場合はどのように情報を送信しているかについて検証されている。

検証結果としては、まずテスト対象のアプリのうち61%がアプリの起動時(アクティベート時)や終了時(デアクティベート時)にデータをFacebookに送信していたという。このデータ送信はFacebookにログインしていなかったり、Facebookにアカウントを作成していない場合でも行なわれていたという。これはこういったアプリで使われている「Facebook SDK」によるものと思われ、これによってFacebookはアプリの起動頻度などを収集できるという。

また、一部のアプリはユーザー固有のID(google advertising ID)の送信も行なっていたという。この情報をユーザーアカウントと紐づけることで(使用したアプリなどから)ユーザーの属性を推測できるという。さらに、よりセンシティブなデータを送信するアプリも確認されており、例えば旅行プランの検索・価格比較アプリ「KAYAK」では出発地や出発時刻目的地および到着時刻、チケットの数、チケットの種別を含むユーザーのフライト情報検索結果を送信していたそうだ。

今回調査対象となったアプリのうち、起動時などに情報を送信しているものとしてはSpotifyやIndeed job Searchが挙げられている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年01月03日 21時48分 (#3543074)

    EPSONのビジネスインクジェットが時々どこかに勝手にアクセスしているようなので
    Linux鯖の裏側に置いてtsharkかけたら、自動アップデートさえオフにしてるのにEpsonやGoogleやTwitterにアクセスしていた
    気持ち悪いので外出禁止でLAN内アクセスのみ許可したVLANをこさえて放り込む

    最近のデバイスは全般的に信用がおけないから時々wiresharkかけることをお勧めする
    例えばAmazonのKindle HDが、使っていない時でも一体どれだけの頻度でAmazonにアクセスしているか知ったら戦慄が走ると思う
    スマホアプリの勝手アクセスがどうのこうの言ってる場合じゃない
    掃除ロボットやスマートスピーカーやスマート家電などの、デバイスが行う勝手アクセスにもっと神経を尖らせるべき

    • 家庭内でしか使用しないなら固定IPにするなどして、
      デフォルトルートが付かないようにすると楽ですよ。
      インターネットへ行けないならデバイスに裏口があっても(インターネット経由では)進入されませんし。

      さらに、
      PCや自宅サーバにProxyサーバ入れて、そっち経由で通信させると、接続先のログ取れますので、
      怪しい機器やテレメトリなどの送信があるデバイスはProxy経由だけで外に出れるようにすると特定のあて先を無効にできます。

      --
      [Q][W][E][R][T][Y]
      親コメント
    • by Anonymous Coward

      EPSONのビジネスインクジェットが時々どこかに勝手にアクセスしているようなので
      Linux鯖の裏側に置いてtsharkかけたら、自動アップデートさえオフにしてるのにEpsonやGoogleやTwitterにアクセスしていた

      wiresharkのログ付きでEPSONに問い合わせてみたらどうか?
      今後はルーターとかVLAN構築の知識が本気で必要になるな、その辺の知識をもっと強化したほうがよさそう

      • by Anonymous Coward

        まぁ無知の利用者ですらわからん可能性があるが
        最近のプリンタって多機能すぎて、クラウドプリント可能なんだよな

        アップデートを無効にすれば、外に出ないという考え自体
        幼稚

    • by Anonymous Coward

      そういうのがあるので、デバイスはできるだけLAN内蔵ではないものを選んでるんだけど、Windowsだとドライバが通信してるから同じかもしれない。
      そもそもなんでLAN内でしか通信の必要がなさそうな家庭用プリンタとかにデフォルトゲートウェイの設定が必要なのかが謎。
      まあ、利用状況のデータとか取ってるんでしょうけど、Googleは可能性としてありそうでもTwitterは変ですね。
      ルータのパケットフィルタでデバイスからの通信は落とすように設定するのがいいかも。

    • by Anonymous Coward

      >> 例えばAmazonのKindle HDが、使っていない時でも一体どれだけの頻度でAmazonにアクセスしているか知ったら戦慄が走ると思う

      そもそも勝手にアレクサが動いてるからその関係じゃないのか?

      裏で動くアレクサを殺すツールでも作ろうかと思ってる今日この頃。
      (アンインストールしても勝手に再インストールされる)

      • by Anonymous Coward

        androidを自分でビルドして入れれば

        • by Anonymous Coward on 2019年01月04日 17時40分 (#3543403)

          動画系のアプリってセキュリティの関係で
          ルートを開放しただけで動かなくなるの多いんだが。

          その手の寝言を言ってる人間って
          スマホとかタブレットを何に使ってるの?

          親コメント
        • by Anonymous Coward

          できるもんなら当然そうしてます。そこらで叩き売ってる中古スマホに投入できるなら。ソースだけあってもダメです。

    • by Anonymous Coward

      色々ただでサービス使わせてもらってるからプライバシーはある程度しょうがないかと思ってるけど、バッテリーと通信容量を無駄に消費されてると思うとやっぱり良い気はしないね。気休め程度にデータセイバーをOnにして位置情報はマップのみ許可してAndroid使ってるけど、

  • by Anonymous Coward on 2019年01月03日 19時45分 (#3543031)

    ぶっちゃけAndroidでは、アプリが実際にはどんなデータを読み取ってるか、何を送受信してるかなんか、よくわからないからね。
    「広告のため」「クラウドにアプリのデータを送信するため」通信の許可をしていても、アプリの動作目的以外の通信を許可しないようにはできないし。
    noRootFirewallを入れたりして、BaiduやFacebookと通信しようとするアプリは遮断するとしても、amazonawsとかは遮断するのも躊躇われる。

    #iOSはユーザじゃないのでよく分からない

    • by Anonymous Coward on 2019年01月03日 23時12分 (#3543114)

      iOSだとFirewallのインストールや設定もできないので、アクセスを止めることさえできない。
      アプリ単位でモバイル通信の利用を不可にはできるがWiFiを止めることはできない。
      ので、怪しいアプリは使うな、以外に自衛の道はない。

      親コメント
    • by Anonymous Coward on 2019年01月03日 19時51分 (#3543034)

      だからこそアプリが全然増えないWindows Phoneは安全なのです!

      親コメント
      • アプリよりもOSのサポート期限切れの方が心配
        親コメント
      • by Anonymous Coward on 2019年01月03日 20時09分 (#3543041)

        それ以前にセキュリティがガチガチで悪質なアプリを作りづらいってのもあるけどな。
        アプリ作成の自由度が低いからアプリが増えない要因にもなっているんだけどな。

        親コメント
        • by Anonymous Coward on 2019年01月04日 0時10分 (#3543138)

          昔あったドコモのiアプリ(Javaベース)はアプリをダウンロードしたサーバとの通信しか許可されていなかったり、
          電話帳のテキストは特別な文字列クラス(XString型)になっていて、外部へデータ送信することが仕様上できなくなっていたり(String型には提供されていても、XString型には提供されていない)
          何でもできるAndroidアプリと比べると極めてセキュアな仕様になっていたけど、
          反面アプリをブラウザのような使い方するにはダウンロードサーバがプロキシサーバにならなければならなくて利便性には欠けていた。

          ほんと、利便性とセキュリティは表裏一体。

          親コメント
          • by Anonymous Coward

            DX なら XStringもStringに変換できたし、ダウンロードしたサーバー以外との通信もできたので、ベンダ登録さえすれば、そこまで厳しくもなかったけどね。
            もちろん登録ベンダなので、変なことやればすぐに登録破棄されちゃってたわけだが。

      • by Anonymous Coward

        昔のAppleが言っていた「MacOSは安全」と同じ理論なので、簡単には笑えないなぁ

    • by Anonymous Coward

      貴方のコメントを見る限り貴方がiOS向けアプリが実際にどんなデータを読み取っていて何を送受信しているか把握しているようには思えないな。
      せいぜい何がどこと送受信しているか把握している程度に見える。
      だいたいaws経由でbaiduやfbに送信されたらどうしょうもないし
      あとはなんでandroidではよくわからないのかがわからない
      ほかはわかるのか他を知らないのか

  • by Anonymous Coward on 2019年01月03日 20時48分 (#3543055)

    GoogleとFacebookの闇 部門

    これ単にFacebookがGoogleが付与してるIDを勝手にトレースに使ってただけで、Googleの闇とか関係なくね?

    • by Anonymous Coward

      今回の件に限るとそうだけど、
      両者ともえげつないほどの貪欲さで情報を集めまくってる企業として共通。
      AmazonやAppleも集めはするだろうが、情報(広告)で食ってない分、前者たちより遥かにクリーンなイメージ。

      • by Anonymous Coward

        今回の件に限るとそうだけど、
        両者ともえげつないほどの貪欲さで情報を集めまくってる企業として共通。

        「普段から悪いことしてる奴は、関係ないことでも悪者扱いしていい」という論調は流石に同意できない。
        というか、そのような物言いを是とするなら、最早「どこが悪いのか」を話題にする必要すらなくなる。「あいつは普段から悪いことをしているから、今回も悪いことに関わっているに違いない」と思考停止して糾弾すれば良いのだから。

        AmazonやAppleも集めはするだろうが、情報(広告)で食ってない分、前者たちより遥かにクリーンなイメージ。

        広告に関してだけで比較するのも如何なものか。末端労働 [srad.jp]

        • by Anonymous Coward

          有耶無耶にして誤魔化すのはGoogleの得意技でもある

  • by Anonymous Coward on 2019年01月03日 20時10分 (#3543043)

    はじめからFacebookはアプリが入ってたりすることが多いので、
    即アンインストールや無効化したりしてたけど、そんなルートで情報が流れてるのね・・・。
    もう、Facebook絡みのものは半ばスパイウェアといってもいいのではないだろうか??

    #ゲームと信用できるもの以外のアプリ・Webアクセスは専用に1台用意してるけど、無駄な抵抗だったか。

    • by Anonymous Coward on 2019年01月03日 21時02分 (#3543060)

      アプリで無くても表面上はFacebookに触れられて無いけれど
      サイト内にJavaScriptでFacebookSDK利用してるのも増えてる気がします

      androidもiOSと言うよりスマートフォンと言うソリューション自体、個人情報を切り売りして利便性を得ているのである程度は仕方が無いのかも・・・

      親コメント
    • by Anonymous Coward

      FacebookとFacebookAppManagerを無効にしてるのにいつの間にかに
      キャッシュとかのファイルサイズが増えてるのが気持ち悪い。

  • by Anonymous Coward on 2019年01月03日 21時05分 (#3543061)

    WiFi で自前のルータ経由で通信させてログを取ると面白そう。ファイアウォールで http(s) 以外のパケットも見える。

    最近はラズパイとかで安価に構築できるよね。

    • by Anonymous Coward on 2019年01月03日 21時52分 (#3543078)

      おまえは透過プロキシを勘違いしている

      親コメント
    • by Anonymous Coward

      やってみてから言うのがいいと思うぞ。
      半年もすればmicroSDが何枚か飛んで諦める。
      外に出る単一経路にそんなもの入れる気はしなくなるよ。

  • by Anonymous Coward on 2019年01月03日 21時06分 (#3543062)

    > However, the default implementation of the Facebook SDK is designed to automatically transmit event data to Facebook.

    『デフォルトではFacebook SDKは勝手にデータをFacebookに送る』と書かれている

    SDKが何を送ってるかなんてアプリ作ってる連中も知らんだろう
    今回名指しされたところの半分は自分でも驚いてるんじゃないか?

    • by Anonymous Coward

      ウェブサイトなんかだとリベートあったはず
      個人データ売買は金になります

    • by Anonymous Coward

      「Facebookでログイン」

  • by Anonymous Coward on 2019年01月03日 22時33分 (#3543092)

    アカウント設定のどっかに「Facebookにデータを送信する」みたいなのがありますよね。
    確かデフォルトでON、オプトアウトは可能というよくあるパターン。
    これをOFFにしても送るのかなあ???

  • by Anonymous Coward on 2019年01月03日 22時40分 (#3543095)

    最近のアプリの広告はアプリ自身でネットーワーク接続して広告を取得するのではなく
    Google Play開発者サービスを通してか、Google Play開発者サービスのデータから
    取得しているみたいだし。

  • by Anonymous Coward on 2019年01月03日 23時43分 (#3543127)

    どこぞの通話・会話ソフトにもこのFacebookのSDK使ってたな
    通信する理由は、電話帳にアクセスするために組み込まれてるとかいってた気がするが
    遮断しても構わないが自己責任と返事が来ていた気がするが
    スマホにファイアウォール導入して遮断して使うのは自然ではないか…

    • by Anonymous Coward

      そのSDKがアプリ開発者も知らないところで余計な情報送るようなクソだったりするから困る。
      しかも切ったらおかしくなるので切れないとか。

  • by Anonymous Coward on 2019年01月04日 0時09分 (#3543137)

    「○○のために常時SSL化を急がないとね。」

    ○○に入る文言を答えよ。

    • by Anonymous Coward

      まるまる

    • by Anonymous Coward

      SEOですかね?
      あとはサイトがスマホ対応してないと検索順位が下がるんでしたっけ?

    • by Anonymous Coward

      「うるさいアレゲユーザーにwiresharkで横からどこに何を通信してるか読み取られないために」
      でFAだぜ。

  • by Anonymous Coward on 2019年01月04日 9時49分 (#3543210)

    >アプリ開発者向けプログラムは外部のアプリにフェイスブックのアカウントでログインできる機能などを提供している。

    そりゃ、そうだ

    >今回、利用者がフェイスブックのサービスを利用していない場合でも外部アプリの名称や立ち上げた回数などのデータが無断で同社側に送信されていた。

    ログインボタン画像を表示してるだけでも、そう言えそう

    • GET hxxp://graph.facebook.com/v2.8/44***********91?format=json&sdk=android&fields=supports_implicit_sdk_logging%2Cgdpv4_nux_content%2Cgdpv4_nux_enabled%2Cgdpv4_chrome_custom_tabs_enabled%2Candroid_dialog_configs%2Candroid_sdk_error_categories%2Capp_events_session_timeout%2Capp_events_feature_bitmask%2Cseamless_login%2Csmart_login_bookmark_icon_url%2Csmart_login_menu_icon_url HTTP/1.1
      User-Agent: FBAndroidSDK.4.25.0
      Accept-Language: ja_JP
      Content-Type: application/x-www-form-urlencoded
      Content-Encoding:

      • by Anonymous Coward

        JSONでボタンを動作させるための初期値を引っ張ってるだけだろ
        GETなんだから、BODYはなくてURLに全部詰まってるはずだよね?
        ユーザーの情報はどこに入ってる?
        URLの中にそれらしいものは見えないけど?

  • by Anonymous Coward on 2019年01月04日 12時16分 (#3543258)

    …悪人に突っ込まれると困るのはあるんだけど。
    DIPスイッチがONのときだけ書き込めるとかでもいいぞ。

    # あなたの443, ノーチェックですか?

typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...