無縫地帯

世の中、行儀の悪いアプリが蔓延っているようです

利用規約を表示しただけで個人情報が抜き取られるというアプリまで登場し、収拾がつかなくなっているAndorid界隈、それを積極的にプッシュするドコモの惨状を嘆いております。

山本一郎です。私の人生の利用規約はどこにあるのでしょうか。

ところで、最近のスマホアプリはインストールして初めて起動すると利用規約を表示して同意確認するものが増えてきました。利用規約の中に「お前の個人情報を全部抜き取って美味しくいただきますからよろしく」と書かれてあれば、使うのをやめるという選択ができるのですから。利用規約をちゃんと全文読んでから同意するという人がはたしてどれぐらいいるのかというのはまた別の問題としてあるのですが、そういう仕組みが導入されているのは建前としてあるべき姿です。

ところが先週、この利用規約を表示した瞬間には個人情報の一部が抜き取られてしまい、肝心の利用規約に同意するか否かは関係ないというアプリが見つかり、ネットの一部でちょっとした騒ぎになりました。

カシレボ!JOYSOUNDの「端末識別番号とアプリ一覧を外部に送信する」挙動が胡散臭いと話題に(NAVERまとめ)

JOYSOUNDのというAndroidのアプリ、利用規約の同意する前の画面でIMEIとインストールされてる全てのアプリのパッケージ名をnm-r,netというサーバに送信している。みゆっき@クライアント製作中@toriimiyukkiTwitter/@toriimiyukki
Twitter上でこの報告がされた後、早い段階でアプリ提供事業者からも反応があり、その後はいつものように、セキュリティ問題における一大権威の高木浩光先生が登場、八面六臂の大活躍という感じではありましたが、問題はアプリ向けに提供されていた広告用モジュールの設計にあったようです。

このような、他人を強制オプトインできてしまう欠陥は、IMEIやMACアドレスを用いた制御方式を採用した時点で必然的な欠陥であり、2011年10月にミログが、サービス中止に至った欠陥と原理的に同じである。なぜ過去の失敗に学ばないのか。Hiromitsu Takagi@HiromitsuTakagiTwitter/@HiromitsuTakagi
また、この事件とほぼ同じタイミングで、FacebookのAndroid用アプリでもアプリの初回起動時に個人情報をユーザーの同意なく収集していたことが発覚しました。

Facebook アプリによる個人情報の漏えいをノートン モバイルインサイトが検出(シマンテック 2013/6/27)
Facebookアプリが電話番号取得、Facebookは「バグ」とコメント(ケータイWatch 2013/6/28)
Android版Facebookアプリが個人情報漏えい - シマンテックが検出(マイナビニュース 2013/6/27)

Facebookアプリの初回起動時に電話番号がFacebookのサーバーへ自動送信されていると指摘。Facebookへのログインや電話番号の入力を行わなくても、さらには、Facebookのアカウントを持たないユーザーがアプリを起動した場合でも、デバイスの電話番号がFacebookサーバへ送信されると説明している。マイナビニュース
Facebookではこの件について「全くのバグであり、情報は利用しておらず、すでにサーバーから削除している」と答え、アプリは次回バージョンで修正する旨を発表しています。ちなみに「Google Play によれば、Facebook アプリは 700 万台以上のデバイスにインストールされており、その大部分がこの問題の影響を受けます」(シマンテック)とのことでなかなか豪快です。

こうしたいわば「行儀の悪い」アプリは、かなりの数が横行しているようで、シマンテックでは数週間以内にリスクのあるアプリ情報をまた公開するらしく、今から楽しみでもあります。

行儀の悪いアプリということでは、個人情報漏洩といったセキュリティ/プライバシー問題とは直接関係ありませんが、楽天がFacebookの「いいね!」大量獲得を目論みアプリを使った不正操作を行ったとして調査が入ったと報じられています。

楽天FBファン数100万人突破、規約違反の疑いでFB社が調査へ…無関係のアプリ経由か(ビジネスジャーナル 2013/6/30)

問題は、楽天とは直接関係ないアプリで「いいね!」を押すと、それが楽天への「いいね!」としてカウントされる仕組みを利用したいたということのようですが、これが事実だとするとかなり格好悪い話です。記事でも書かれていますが「大企業となったいまだに、このように遵法意識が薄く、詰めが甘いところは企業としての脆さを感じる」というのは同意せざるを得ません。

技術的に出来てしまうからやってしまうのでしょうが、行儀の悪いアプリは絶えませんねぇ……。

そんなことを書いていたら、さらに強烈な日本語まとめ記事が出ていました。

Androidにアプリ改ざんが可能な脆弱性、9億台の端末に影響か(ITmedia エンタープライズ 2013/7/04)

内容自体は先週出ていたBluebox Securityの記事がベースですが、「脆弱性を突いてHTC製のアプリを改ざんし、端末上のあらゆるパーミッションを取得できる」のが本当ならば(本当なんでしょうが)、これらの脆弱性アタックと野放図な利用規約承認技を組み合わせて相当悪辣なことができてしまいます。あんなことやこんなことも思いついて、いろんな意味で全力でTポイントカード状態(C)武雄市長です。

洒落にならんことでもありますが、企業向けにAndroid入りシステムを提供していた NECや富士通はどうするつもりなのでしょう。

ドコモ「ツートップ」戦略で明暗クッキリパナなど下位4社の不振際立つ (1/2ページ)(sankei BIZ 2013/7/04)

そのドライバーであるドコモは「ツートップ戦略」なるもので劣後の状況にある国内メーカーを切り捨てている形になります。最初は国益を見つめて国内メーカーを保護するためにiPhoneの導入を見送っているのかと思っていましたが、実際にドコモが国内市場を提供している先のメーカーはサムソンであるというしょっぱい話になりつつあります。何かサムソンを起用することでドコモに有利な話があるのでしょうか。技術的に利点があるのか、融通が利くのか、はたまた特定幹部が鼻薬を嗅がされているのかは分かりませんが、いまのところドコモがサムソンを推す理由は「価格や、Andoroidとしての安定性」といった部分以外になかなか見当たりません。

で、ドコモの社長が何か言ってます。

ドコモ、iPhone販売か…アップルと交渉中(読売新聞 2013/7/04)

> アイフォーンは端末、基本ソフトウエア(OS)など(の仕様)が独特

> アイフォーンは端末、基本ソフトウエア(OS)など(の仕様)が独特

> アイフォーンは端末、基本ソフトウエア(OS)など(の仕様)が独特

> アイフォーンは端末、基本ソフトウエア(OS)など(の仕様)が独特

> アイフォーンは端末、基本ソフトウエア(OS)など(の仕様)が独特

> アイフォーンは端末、基本ソフトウエア(OS)など(の仕様)が独特

お前らの売っているAndroid端末のセキュリティがまずいと世界中で問題になっているさなかに、世界で普及度がワンツー状態のiOSの仕様が独特とか言ってしまうトップの知的清廉性はどうなっているのでしょう。

下手をすると、ドコモは国内販売よりも海外戦略をという軸足を固めようと本気で思っていて、そのパートナーとしてサムソンの協力は不可欠、みたいなことをまじめに考えている可能性がありますねえ…。いま我慢すれば、中期計画ではこういう薔薇色の未来が、とかいう話をしているのかもしれませんが、そんなことを言う側近はさっさと切ったほうが身のためじゃないでしょうか。

っていうか、ドコモの中の人や、ドコモに降りてきた持ち株の人や、ドコモに出入りしているコンサルの人たちは、加藤シャチョーの発言をいったいどう思ってるんでしょうかね。心配です。結構本気で心配しています。

まあ、一番行儀が悪いのは私であったということで、本稿は丸く収めたいと思います。
今日も一日頑張って参りましょう。