パスワードを忘れた? アカウント作成

アカウントを作成して、スラドのモデレーションと日記の輪に参加しよう。

13722783 story
プライバシ

Lenovo幹部、中国向け製品にバックドアがあることを示唆 35

ストーリー by hylom
中国内では合法 部門より
maia曰く、

Lenovoの幹部がメディアから中国政府の指示に応じて中国向け製品にバックドアを仕込んでいることについて尋ねられた際、「中国にある多国籍企業はみんな同じことをやるでしょう」として否定しなかったことが報じられている(GIGAZINE)。また、他国においては「現地の法律を遵守する」としている。

当たり前じゃないか、という感想。中国で商売する企業は皆やってるはず。もっとも、そこは西側でも同様じゃないのかな(例外はあるらしいが)。言ってみれば、どっちの陣営に見られる方がマシかという選択になる。あと、バックドアのオンオフが可能なら(おそらくその通りだろう)、それは脆弱性の所在になるのではないかな。

13720605 story
お金

東大の学生証を撮影してアップすると最大200円がもらえるキャンペーン 67

ストーリー by hylom
露骨な個人情報収集 部門より

以前「レシートを撮影して送信すると10円が貰えるアプリが登場」と話題になったスマートフォンアプリ「ONE」が、「東大生の学生証を撮影すると最大200円GET」なるキャンペーンを行っている。

ONEは利用者殺到のため一時サービスを停止し、その後は広告型サービスとして運営が続いている(過去記事)。最近では「クラフトビールを購入したレシート」や「動物病院の診療明細書」、「かまぼこ・ねりもの」などの撮影で現金がもらえるというキャンペーンが展開されている(ONEの公式Twitterアカウント

13717952 story
検閲

Googleの中国向け検索アプリ、プロトタイプは検索内容と携帯電話番号を結び付ける仕組みを搭載 49

ストーリー by headless
索閲 部門より
Googleが中国再参入に向けて開発している検索アプリのプロトタイプでは、ユーザーの携帯電話番号と検索内容が結び付けられる仕組みになっているとThe Interceptが報じている(The Interceptの記事The Vergeの記事Android Policeの記事)。

「Dragonfly」というコードネームで呼ばれているこのアプリはAndroid用。中国当局の禁止するコンテンツが除外されるようになっているほか、気象情報や大気汚染情報は中央政府の不明な部局が直接提供するデータに置き換えられるそうだ。The Interceptが入手した情報によると、Googleは中国語で「人権」「学生運動」「ノーベル賞」といった検閲語句を含むブラックリストを作成しているとのこと。

EFFを含む14の人権保護団体は8月、Googleが人権侵害に直接関与することになるなどとして、Dragonflyに反対する公開書状をGoogle CEOのサンダー・ピチャイ氏に連名で送っている。中国政府は人権活動家やジャーナリストなどを厳しく監視しているが、電話番号と検索内容が結び付けられれば監視がさらに容易になる。サーチエンジンはGoogleと中国企業の合弁会社で運営されることになるが、ブラックリストの管理などにGoogle側がどの程度かかわることができるのかといった点は不明なようだ。
13717236 story
Google

Google、GDPRに違反しているとのBraveの主張に反論 22

ストーリー by headless
広告 部門より
Googleなどの広告テクノロジー企業が欧州の一般データ保護規則(GDPR)に違反しているとして、Brave SoftwareのJohnny Ryan氏などが英国とアイルランドの情報コミッショナーオフィス(ICO)に訴状を提出したことに対し、Googleが反論している(Softpediaの記事Tom's Hardwareの記事)。

訴状で問題視されているのは、ターゲティング広告における個人情報の扱いだ。リアルタイム入札(RTB)の入札リクエストでは、ユーザーが閲覧した記事や視聴した動画に関する情報や位置情報、トラッキングIDなどが潜在的な広告主にブロードキャストされる。そのため、不正な個人情報の処理から保護することなどを義務付けたGDPR第5条の1に違反するという。

これに対しGoogleでは、パーソナライズされた広告を含め、EU域で提供しているすべてのサービスにおいてデータの透明性とコントロールをユーザーに提供していると反論。すべての製品でプライバシーとセキュリティを重視しており、GDPRを順守すべく努力しているとのことだ。
13714441 story
プライバシ

インドでメッセージングアプリが発端のリンチ殺人事件が多数発生 30

ストーリー by hylom
リテラシの問題か、それとも 部門より
taraiok曰く、

インドで、Facebookのメッセージングサービス「WhatsApp」を発端としたリンチ殺人事件が発生したという(BuzzFeed NewsSlashdot)。

今年6月、インド東部のKarbi Anglongで児童誘拐の噂が広がり、犯人と誤解された2人の青少年が48人の村人によって殺害された。その2週間後の7月にも、Murki村を訪れたIT労働者が数百人もの村人に石を投げつけられ殺害されている。これ以外にも今年の5月以降に少なくとも16のリンチ事件が発生、29人の死者が出ている。インド公安当局によると、そのすべてがWhatsAppの誤報によって誘発された暴動だという。

また、インドだけではなくミャンマーでも、WhatsAppにおけるヘイトスピーチの広がりが、ロヒンギャのイスラム教徒大量虐殺の要因になったとされる。

こういった誤報・偽ニュース・ヘイトスピーチの拡散に対処するためインド政府はWhatsAppでの暗号化解除や発信元の追跡などを求めているが(過去記事)。WhatsApp側は「WhatsAppに追跡機能を付けてしまえば、暗号化が弱まり、WhatsAppの持つ私的性質が損なわれる可能性がある。今後もWhatsAppは、プライバシー保護を弱めることはない。誤った情報に挑戦しながら多くの人たちと協力していく」として対応を拒否している。

13714142 story
プライバシ

個人情報の無断収集で訴えられたVIZIOのスマートテレビ、利用者に集団訴訟の通知を画面表示へ 8

ストーリー by hylom
便利ですね(棒) 部門より
headless曰く、

スマートテレビを通じた個人情報の無断収集により米国で集団訴訟(クラスアクション訴訟)を提起された米テレビメーカーのVIZIOが、同社のスマートテレビの画面を通じてユーザーへ訴訟に参加できる資格があることを通知するそうだ(The VergeArs TechnicaHollywood Reporter裁判所文書)。

個人情報の収集が始まったのは2014年2月。同社は「Smart Interactivity」と呼ばれる自動コンテンツ認識(ACR)ソフトウェアを新規に販売されたスマートテレビにプリインストールしたほか、それ以前に販売されたスマートテレビに配信し、視聴番組やIPアドレスなどの情報を収集していたという。

このことが2015年に明るみに出てクラスアクション訴訟が提起されたほか、米連邦通信委員会(FTC)およびニュージャージー州にも提訴されていた。FTCおよびニュージャージー州が提起した訴訟は2017年、VIZIO側が合計220万ドルを支払い、1,100万台のスマートテレビから2016年3月1日までに収集したすべてのデータを削除する条件で和解している。

今回のクラスアクション訴訟も既に両者は和解に合意しており、原告側が9月12日までに和解の事前承認を請求することになっていた。しかし、両者はテレビ画面を通じてクラスメンバーに通知するソフトウェアを開発していることを明らかにし、確実に通知が表示されることを確認するための時間が必要だとして、期限を10月3日まで延ばすよう請求している。

13713128 story
プライバシ

Mac App Store、不正な処理を行っていたアプリについて通報後も1か月放置 20

ストーリー by hylom
結局通報だけでは動かないのか 部門より
Trend Microなどが提供するMac向けアプリ、ユーザーに無断でブラウザ履歴などの情報を収集・送信していたという話があったが、こういった不正な処理を行っているアプリの存在をMac App Storeに通報しても、削除までに至る道のりは長いようだ。

headless曰く、

個人情報をユーザーに無断で送信していることが8月初めにAppleへ報告されていたセキュリティアプリ「Adware Doctor:Anti Malware &Ad」が1か月後になってようやくMac App Storeから削除された(Objective-See's Blog9to5MacMac RumorsSoftpedia News)。

Adware DoctorはSafariをはじめとするWebブラウザーの履歴やApp Storeの検索履歴、実行中プロセスの一覧などをZIPファイルに格納して中国のサーバーに送信していたという。ユーザーの同意なく個人情報を収集することは、App Store Reviewガイドライン5.1.1に違反する。なお、通常のアプリはサンドボックス化により他のアプリの情報を取得することはできないが、このアプリはマルウェアの検出に必要だなどとしてユーザーのパーミッションを得ていた。詳細については元NSAハッカーのパトリック・ウォードル氏が発見者のジョン・マックス氏(@privacyis1st)と協力して調査を行った結果を、Objective-See's Blogの記事にまとめている。

このアプリはもともと「Adware Medic」として公開されていた「Malwarebytes for Mac(当時の名称はAdwareMedic)」の偽物で、いったんMac App Storeから削除されていたが、その後「Adware Doctor」という名称で再公開されたものだという。削除前、日本のMac App Storeでは600円で販売されており、Mac App Storeの有料アプリランキングではスウェーデンで2位、カナダで4位、デンマークで6位に入る人気アプリだった。なお、アプリ自体は削除されているが、現在のところ上述の3か国向けページではランキングに入ったままだ。

マックス氏やウォードル氏から報告を受けたAppleは定型の返信をしたのみで特に動きはなかったが、Objective-Seeの記事を各メディアが一斉に報じた直後にアプリを削除したようだ。このほか、マックス氏は同じ開発者による「AdBlock Master:Block Popup Ads」と別の開発者による「Komros Anti Malware & Adware」(いずれも無料)についても同時に問題を指摘しており、これらも既に削除されている。さらに、トレンドマイクロの「Dr. Cleaner」と「Dr. Antivirus」でも同様の問題を指摘し、PoC動画をVimeoで公開している。なお、これら2本のアプリは日本のMac App Storeでは公開されていなかったようだ。

これとはまた別件だが、App Storeで公開されている人気iOSアプリ20本以上がユーザーの位置情報などをデータマネタイゼーション企業に販売していると、GuadianAppが指摘している。

13710552 story
プライバシ

Trend Microなどが提供するMac向けアプリ、ユーザーに無断でブラウザ履歴などの情報を収集・送信していた 67

ストーリー by hylom
これはマルウェアじゃないんですかねぇ 部門より

Trend Microなどによって提供されている複数のMac向けアプリケーションが、ユーザーに無断でWebブラウザの閲覧履歴などの情報をTrend Microのサーバーに送信していたことが明らかになった。

発端となったのは、Mac向けの「Adware Doctor」というアプリケーションがWeb閲覧履歴をユーザーに無断で中国内のサーバーに送信していたという問題(AAPL Ch.Engadget Japanese)。このアプリケーションは中国のYONGMING ZHANGというデベロッパーによって提供されていたものだが、その後同様の行為を行っているアプリケーションがほかにも複数存在することが発見された。その中にTrend Microの「Dr. Cleaner」や「Dr. Antivirus」、「Dr. Unarchiver」も含まれていたという(AAPL Ch.の続報9to5Mac山本一郎氏によるYahoo!ニュース記事GIGAZINE)。

これらのアプリケーションはユーザーに無断でWeb閲覧履歴やApp Storeの閲覧履歴、インストールされているアプリケーション情報などをtrendmicro.comドメインのサブドメインを使って運用されているサーバーに送信していたという。なお、これらアプリケーションは現在Mac App Storeからはダウンロードできない状況になっているようだ(AAPL Ch.の続報2)。

また、Trend Microが提供しているアプリケーションだけでなく、ほかのデベロッパーによるアプリケーションからも問題のサーバーへのデータ送信が行われていることも報告されている(この問題が報告されているMalwarebytesのフォーラム)。

13702130 story
プライバシ

米Yahoo Mailは利用者のメールをスキャンして得た統計情報を販売している 58

ストーリー by hylom
五十歩百歩 部門より
あるAnonymous Coward曰く、

現在米YahooはVerizon傘下のOath社によって運営されているが、同社は無料メールサービス(Yahoo Mail)利用者が受信したメールをスキャンして分析し、広告主に販売しているという(WSJAndroid CommunitySlashdot)。

Yahoo Mailのアカウント数は2億以上とされており、メール受信箱の内容を分析することで人々が興味を持っている商品や購入している商品の情報を得て、それをマーケティング目的で販売しているという。さらにYahoo MailだけでなくAOLでもこういった手法が導入されているそうだ。

ユーザーは設定によってこういったメールのスキャンを停止できるが、あまりそのことは知られていないという。また、Yahoo Mailには月額3.49ドルの有料サービスもあるが、このサービスを利用した場合でもデフォルトではメールのスキャンは行われるそうだ。

13702049 story
Google

Google、Mastercardからクレジットカード利用統計情報を購入していた 34

ストーリー by hylom
リアル側でもクローリングか 部門より

GoogleがMastercardに金銭を支払ってMastercardの利用状況データを購入していたとBloombergが報じているTechCrunch)。

Mastercardが提供しているデータはいわゆる「匿名化」が行われているようだが、この情報を使うことでGoogleの広告を見た顧客が非オンラインでの商品を購入したかどうかといった追跡を行えるという。

なお、こうした追跡はGoogleアカウントの設定で停止できるそうだ。

13702031 story
iOS

App Store、新規公開または更新するすべてのアプリでプライバシーポリシーが必要に 12

ストーリー by hylom
さらに厳しく 部門より
headless曰く、

Appleは8月31日、App Store Reviewガイドラインで6月下旬に変更されたプライバシーポリシー要件を10月3日から適用することを発表した(App Store Connectの発表9to5MacSlashGearMac Rumors)。

6月下旬の変更では、5.1.1「データの収集及び保存」に「プライバシーポリシー」条項が追加され、すべてのアプリケーションがプライバシーポリシーを用意し、App Store Connectのメタデータフィールドと各アプリケーション内にリンクを含めることが必要になった。変更前は「ユーザーまたは使用状況に関するデータを収集するアプリケーション」に限り、データ収集に関するプライバシーポリシーが必要とされていた。

10月3日以降、App StoreまたはTestFlightで提供するすべての新規アプリおよび更新版アプリは、App Store Connectへ提出する前にプライバシーポリシーを用意する必要がある。また、プライバシーポリシーのリンクや本文はアプリの更新版を提出するときにのみ変更できるとのこと。

なお、日本語版のガイドラインはこれまで「App Store審査ガイドライン」となっていたが、現在は「App Store Reviewガイドライン」に変更されている。

13700786 story
Firefox

Mozilla、ページ読込みを遅くするトラッカーなどをFirefoxのデフォルトでブロックする計画 30

ストーリー by headless
阻止 部門より
Mozillaは8月30日、Firefoxの今後のバージョンでページ読込み速度を低下させるトラッキングコンテンツ(トラッカー)などをデフォルトでブロックする計画を明らかにした(Future Releasesの記事The Vergeの記事VentureBeatの記事Android Policeの記事)。

GhosteryがAlexaトップ500サイトを対象に実施した調査によると、少なくとも1つのトラッカーを含むページが90%近くを占め、50以上のトラッカーを含むページは20%以上。平均では読込み時間の半分以上がトラッカーによるものだったという。Firefox Nightlyには読込みに5秒以上かかるトラッカーをブロックする機能が搭載されており、9月にはランダムに選択したユーザーに新機能を試してもらうShield 調査によるテストを計画している。テストがうまくいけば、10月リリース予定のFirefox 63で読込みの遅いトラッカーをデフォルトでブロックするとのこと。
13697053 story
プライバシ

無断で位置情報を収集していたデンソーウェーブの「公式QRコードリーダー」、収集した情報の提供を中止 105

ストーリー by hylom
アプリは基本信頼するな 部門より
あるAnonymous Coward曰く、

「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される』という話が話題となっていたが(Yahoo!ニュース)、デンソーウェーブがこの機能で収集したQRコード利用者のIPアドレスと位置情報を提供するサービスを中止すると発表した(日経xTECH)。

「QRコードリーダーの利用者への説明が不足し、さらにサーバー側で不必要なデータを収集していた」という理由での中止だそうだ。

利用者に無断で位置情報と時刻、IPアドレスなどの情報を送信していることに加えて、ユーザーには認識できないデータをQRコードに埋め込んでその情報を送信させていることも指摘されている。

なお、今回中止となったのはあくまでIPアドレスと位置情報の提供のみで、これら情報の収集についてはまだ行われているようだ。

13696728 story
テクノロジー

ワシントン・ダレス国際空港、本格導入3日目の顔認識システムで他人になりすました外国人を発見 18

ストーリー by hylom
そんなに頻繁にあるケースなのか 部門より
headless曰く、

米税関・国境取締局(CBP)は23日、ワシントン・ダレス国際空港で本格導入3日目の顔認識システムにより、他人になりすまして入国しようとした外国人を発見することに成功したと発表した(CBPのニュースリリースThe Verge)。

8月22日、ブラジル・サンパウロからダレス空港に到着した26歳の男性はフランスのパスポートを所持していたという。しかし、入国審査の際に係官が新しい顔認識技術で比較すると、パスポート写真と男性の顔が一致しないと判定される。そこで係官は詳細な検査が必要になると男性に伝えたところ、男性は目に見えてうろたえた様子を見せたそうだ。身体検査の結果、係官は男性がコンゴ共和国の身分証明書を靴の中に隠しているのを発見したとのこと。

他人の身分証を使用することは米入管法に違反し、犯罪として起訴される可能性がある。ただし、この男性は不起訴になり、米国を出国したという。ダレス空港は顔認識技術を早期導入する14空港の1つで、8月20日に本格運用を開始したばかり。顔認識技術を入国審査に用いることで、セキュリティを強化しつつ迅速な手続きが可能になり、国際旅客の利便性も向上するとのことだ。

13695619 story
携帯電話

スマホ監視アプリSpyFoneで取得されたデータ、ネットで誰もがアクセスできる状態になっていた 15

ストーリー by hylom
設定ミスかな 部門より
あるAnonymous Coward曰く、

子供や従業員などのスマートフォン利用状況を監視するアプリ「SpyFone」で収集されたデータが、ネット上で誰もがアクセスできる状態で公開されていたという(GIGAZINEMOTHERBOARD)。

このデータはAmazonのストレージサービス「S3」上にアップロードされていたもの。これを発見した研究者によると、このデータが実際にダウンロードできることや、少なくとも2208件の利用者のデータが格納されていたことが確認できたそうだ。このデータにはスマートフォン内の写真やテキストメッセージ、音声録音、連絡先、位置情報などが含まれていたという。

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...