パスワードを忘れた? アカウント作成

スラドのRSSを取り込んでみよう。

13127588 story
プライバシ

Webブラウザアドオン「Styish」、ユーザーデータの収集を始めて騒動に 16

ストーリー by hylom
マネタイズ 部門より
あるAnonymous Coward曰く、

FirefoxやChromeなどで利用できる、指定したサイト毎に異なるユーザースタイルシートを適用できる拡張(アドオン)の「Stylish」がユーザーデータの収集を開始したとしてレビューに批判が集まる状況になっている(Chrome版StylishのレビューページFirefox版Stylishのアドオンページ)。

プライバシーポリシー(2017/01/01改定)では「個人を特定できない形で情報を収集する」となっているほか、基本的には第三者には提供しないが匿名化された情報に付いてはパートナーに提供する、という話が書かれている。

Chromeの場合、ユーザーへの通知なしに自動的に拡張がサイレントアップデートされることがあるので利用者は要確認。

Tech News Directoryによると、2016年10月にStylishはJustin Hindmanなる人物にその所有権が移っているとのことで、また1月12日には公式フォーラムでSimilarWebという調査会社に対し収集したデータを提供することを表明している。

13125621 story
プライバシ

WhatsAppの脆弱性は意図的な実装? バックドア? 9

ストーリー by hylom
暗号化があるだけマシ? 部門より
あるAnonymous Coward曰く、

Facebook傘下のWhatsAppが提供する人気メッセージングアプリ「WhatsApp」にセキュリティ上の問題があるという指摘が出ている(TechCrunch)。

指摘されているのは、暗号化プロトコル「Signal Protocol」の実装方法に問題があるという点。そのため、暗号化されたメッセージが第三者に傍受された場合に、その内容が漏えいしてしまう可能性があるという。

この問題は昨年4月にFacebookに報告したが、同社は修正を行わない意向を示したという。WhatsApp側はこれをメッセージの紛失を防ぐために意図的に実装したものであると述べているという。また、これについては「政府の意向を受けたバックドアではないか」と主張する声も出ている。

13125542 story
プライバシ

Microsoft、Windows 10の次期大型アップデートに向けてプライバシー問題の改善を進める 40

ストーリー by hylom
遅い歩み 部門より
headless 曰く、

過剰なデータ収集など、プライバシーの面で批判されることも多いWindows 10だが、Microsoftは大型アップデート「Creators Update」に向けて改善を進めているようだ(Windows Experience Blog)。

この一環としてMicrosoftは10日、Microsoftアカウントに「プライバシー」ダッシュボードを追加している。ここではMicrosoft Edgeの閲覧履歴やBingでの検索履歴、位置情報、Cortanaのノートブックなどの内容を確認・削除することができる。今後、さらに機能やデータのカテゴリーを追加していく予定とのこと。

さらにWindows 10 Creators Updateでは、プライバシー設定やデータ収集などに改善が行われる。まず、Windowsセットアップの最後の段階で「簡単設定」に代わる新たなプライバシー設定画面が導入される。この画面は選択する項目が何も表示されない簡単設定とは異なり、重要な項目を選択可能なシンプルなものになる。

すでにWindows 10を使用している場合、Creators Updateにアップグレードしてもこの画面は表示されないが、通知でプライバシー設定を選択するように促される。この変更はInsider Previewビルドで近々提供されるとのこと。また、診断データと使用状況データの設定オプションは現在の3段階(基本/拡張/完全)から2段階(基本/完全)になり、「基本」レベルで収集するデータも減らされるとのことだ。

これについてElectronic Frontier Foundation(EFF)のAmul Kalia氏は、昨年8月にMicrosoftがユーザーの選択とプライバシーを無視していると批判して以来、この問題についてMicrosoftとEFFが話し合っていたことを明らかにし、Microsoftの動きを歓迎している。また、Reutersの記事では今回の変更がスイスのデータ当局の意向を反映したものだと報じている。

13121092 story
ソフトウェア

「JPEGのプライバシ問題」を解決するべく新たな規格策定が進んでいる 55

ストーリー by hylom
ひっそりと使われそう 部門より

デジタルカメラやスマートフォンのカメラで撮影した画像の保存フォーマットとして広く使われているJPEGで、「プライバシー問題」が発生しているという。そのため、プライバシー保護を行うための技術が開発されているそうだ(マイナビニュース)。

問題とされているのは、撮影データに記録される「Exif」形式のメタデータ。多くのカメラやスマートフォンではExif形式で撮影したカメラの情報や撮影時のカメラ設定、撮影日時などの情報を記録するようになっているが、昨今ではGPSで取得した位置情報を記録するスマートフォンやカメラが増えている。撮影した写真をSNSなどで公開することはすでに一般的になっており、これが新たなプライバシー問題となっているという。また、公開した写真を第三者が勝手に利用してしまう、という問題もある。

これらを解決するため、Exif内にウォーターマーク(電子透かし)を埋め込んだり、ユーザーが埋め込むメタデータを管理しやすくする、といった機能を実現するべき規格策定が進められているという。この規格は2018年頃には「ベースができあがる」予定だそうだ。

13121090 story
SNS

政府の意向を受けてロシア版App StoreとGoogle PlayからLinkedInアプリが削除される 11

ストーリー by hylom
おそロシア 部門より
あるAnonymous Coward曰く、

ロシア政府の要求により、ロシア向けのApp StoreおよびGoogle PlayからSNS「LinkedIn」の公式モバイルアプリが削除されたとのこと。ロシアは個人データの国内保存を義務化しており、これに反しているというのが削除理由(iPhone ManiaFORTUNESlashdot)。

ロシアではすでにLinkedInのWebサイトに接続できないようになっているという。

13121088 story
プライバシ

Webブラウザの自動入力機能を悪用して意図しない個人情報を送信させるデモ 16

ストーリー by hylom
シンプルな手口 部門より

Webブラウザの自動入力機能を悪用して個人情報を盗む手法が公表された。実証コードも公開されているBleeping ComputerGIGAZINESlashdot)。

Webブラウザの自動入力機能は、住所やクレジットカード情報などをあらかじめWebブラウザに登録しておくことで、Webページ上のフォームに自動的にそれらを入力するというもの。今回公表された実証コードでは、画面上に見えないようにフォームを配置し、さらにJavaScriptを使ってフォームに値が入力されたらそれらを自動的に処理するようなコードを組み合わせるというもの。

公開されているデモでは「Name」および「Email」入力フォームのみが表示されており、送信されるのは名前およびメールアドレスだけのように見えるが、電話番号や住所などを入力するフォームも見えないように配置されており、Webブラウザにこれらの情報が登録されており、さらに自動入力機能を利用した場合はこれらの情報も自動的に入力されて送信されてしまう。

ただし、Safariでは自動入力の際に入力するデータをユーザーに確認する仕組みになっており、また、Firefoxではユーザーが自動入力するフォームを指定する必要がある。そのため、これらブラウザでは悪用は難しいようだ。

13108755 story
アメリカ合衆国

米議会の暗号化ワーキンググループ、暗号に対する「バックドア」提供に反対との姿勢を示す 56

ストーリー by hylom
ブレーキ 部門より
taraiok 曰く、

米議会の暗号化ワーキンググループ(EWG)が、FBIなどが求めていた司法当局へのバックドア提供についての報告書を発表した。同グループは「議会は暗号化という重要な技術を弱めるべきではない。ただし、法執行機関や情報機関が有している懸念を無視してはならない」とした(BetaNewsレポート[PDF]slashdot)。

その上で、暗号専門家と情報セキュリティ専門家は、ハッカーや悪意のある行為者に対抗するため、安全性を損なうことなく、法執行機関に暗号化されたデータへの例外的なアクセスを提供するシステムを考案・実装する手段を考えるべき、非常に困難で非現実的ではあるが不可能ではない、としている。さらに、議会は法執行機関の技術企業間のコミュニティと協力を促進すべきであるともしている。

13100445 story
暗号

PGPは有害無益? 35

ストーリー by hylom
何年も使っていない 部門より
あるAnonymous Coward 曰く、

PGPが事実上唯一の暗号化メッセージ手段だった時代は終わり、暗号の専門家たちは「前からPGPには利点よりも問題のほうが多いと思っていた」Bruce Schneier)、「長期に渡って安全に保管しなければならない鍵のモデルには見切りをつけることにした」(Filippo Valsorda)などとPGPに対する疑問を表明している(Ars Technica)。彼らはSignalなどのメッセージングアプリを好む傾向があるようだ。読者諸氏は、暗号化メッセージが必要な場面でどのようなツールを選択しているだろうか。

最近はGnuPGTOFUを取り入れるなどトラストモデルを改善しているものの、Valsordaによれば「GnuPG単独の問題ではない。PGPそのものがうまくいっていないのだ」という。「暗号化メールが来るのは多くても年に二通。UXも昔からひどいまま。しかし本当の問題点は、鍵を大事にすればするほどアタックサーフェスを広げることになるという、長期鍵の根本にある危険性だ」として、クラウド業界では有名なペットと家畜の比喩を持ち出している。鍵に名前を付けて、障害があったときに手間暇かけて対応するのはナンセンスだ、鍵は使い捨てにすべきだという意見だ。

13079583 story
プライバシ

Evernote、一部社員に対しユーザーが保存したコンテンツを閲覧する権限を与えるポリシー変更 28

ストーリー by hylom
明文化しただけという気も 部門より

スマートフォンやPCなどからアクセスできるクラウド型の情報蓄積・閲覧ツール「Evernote」で、同社の一部社員がユーザーがEvernoteに保存したコンテンツを勝手に閲覧することを認めるようなプライバシーポリシー変更が行われるとのこと。この変更は来年1月23日より適用されるという(PC WatchCNET Japan)。

変更後のEvernoteのプライバシーポリシーおよび変更点の説明Evernoteの「プライバシーポリシーの更新に関するお知らせ(2017年1月)」によると、ユーザーに対し関連性の高いコンテンツや機能を提供する機能の開発において、機能が意図しているとおりに動作するかどうかを確認するためにEvernote社員がユーザーの保存データにアクセスする場合があるとしている。データにアクセスできるのは「一部のEvernote社員」のみで、またこれら社員については教育や研修を実施するという。データをそれ以外の目的には使用しないとし、またユーザーがEvernote社員によるデータアクセス対象から外すような設定も可能とのこと。

また、これまでもEvernoteの従業員は常にユーザーのデータにアクセスできていたが、誰もそれに気を留めなかったという話も出ている。(Forbes)。

13002996 story
インターネット

ネット検閲に積極的なトランプ政権の誕生に対し、Mozillaはネットの中立性を守る活動に注力へ 43

ストーリー by hylom
戦えMozilla 部門より

Mozillaが2015年の年次報告書と「the State of Mozilla for 2015」を発表した(マイナビニュースCNETSlashdot)。

Mozillaの2015年の売上高は前年比28%増で、特にロイヤリティ収入が大きく増加している。これは、2014年にGoogleとの検索パートナー契約を終了させ、国・地域ごとに異なるパートナーと契約する体制に切り替えたことが影響しているという。

また、the State of Mozilla for 2015ではMozillaは今後「インターネットの健全性」を保つ活動に注力することが明かされた。背景にはネットの検閲に積極的とみられるトランプ政権の誕生がある。そのため、Mozillaはネットの中立性がWebのイノベーションを加速させるために重要になると強調、 暗号化の強化などを支援したいと考えているようだ。

12998053 story
プライバシ

英、令状なしで国民のWebアクセス記録を閲覧できる権限を警察など48機関に与える法案が可決 15

ストーリー by hylom
見ているぞ 部門より
taraiok 曰く、

イギリスで「Investigatory Powers Act」という新たな法案が可決された。この法律は「スパイ憲章」とも呼ぶべきもので、すべての英国民のWebアクセス記録を1年間保存することを通信会社などに求めている(APZeroHedgeSlashdot)。

この法案では、警察や情報機関、軍関係や税関、食品基準庁、社会福祉トラストなど48の機関に対し裁判所の令状無しで記録された閲覧履歴にアクセスすることを認めている。法執行機関に対し、テロや重大な犯罪と戦うためのツールを与えることを目的としているが、英国の市民団体は無実のインターネットユーザーを監視社会に追い込むものだと批判している。

12997071 story
プライバシ

タクシー業者が容疑者に無断でタクシー車内のドライブレコーダー映像を提供して問題に 107

ストーリー by hylom
アウト 部門より

覚醒剤使用の疑いで、歌手のASKA氏が28日夜逮捕されたのだが、容疑者が逮捕直前に乗ったタクシー車内のドライブレコーダー映像がTVで放映されたことが物議を醸している(日刊ゲンダイ)。

この映像は容疑者に無断でタクシー会社からマスコミに提供されたものと思われるが、本来ドライブレコーダーは車内でのトラブルの際にのみ利用されるものであり、こういった提供は不適切ではないかとの声が出ている。これに対しタクシー業者の組合組織であるチェッカーカブが、「当グループ加盟の1社よりマスコミへ提供された」と発表、こういった提供は不適切として厳罰をもって対応すると発表している(ITmedia)。

12994144 story
プライバシ

音声出力を音声入力に替えることでヘッドホンを盗聴マイクにしてしまうハック 42

ストーリー by hylom
その手があったか 部門より

イスラエルの研究者が、PCに接続されたヘッドホンを使って盗聴を行う手法を公開した(GIGAZINETechCrunchSlashdot)。

マイクとスピーカーは構造が似ており、スピーカーをマイクとして利用できることはよく知られている。そして、昨今のサウンドカードやマザーボード搭載のオーディオインターフェイスの多くで、本来オーディオ出力用として用意されているジャックをオーディオ入力として使用したり、逆にオーディオ入力用として用意されているジャックをオーディオ出力に使用できる機能が搭載されているという。この機能はドライバソフトウェアで操作を行うだけで利用できるため、マルウェアなどを使ってスピーカーやヘッドホンが接続されているオーディオ出力端子をオーディオ入力端子として使うよう設定することで、マイクが接続されていないPCでも周囲の音を盗聴できるようになるという。

この手法を解説する論文によると、問題のオーディオ出力端子をオーディオ入力として利用できる機能は「jack retasking」や「jack remapping」などと呼ばれており、Realtekのオーティオチップセットでサポートされているという。この機能は公式ドキュメントにも記載されている正式な機能で、任意のポートに任意の機能を割り当てられるようにすることで、物理的に端子を移動させることなしにユーザーが使いやすい位置に各機能を割り当てられるというもののようだ。

これを悪用することで、たとえば盗聴を恐れてマイクを接続していないようなPCでも、ヘッドホンやスピーカー経由で盗聴を行えるという。

12993008 story
Windows

MicrosoftがWindows 10の利用統計情報をFireEyeに提供するとの報道、Microsoftは否定 11

ストーリー by headless
提供 部門より
MicrosoftがFireEyeに対し、Windows 10の利用統計情報を提供すると報じられている(BetaNewsの記事ARNの記事Softpediaの記事)。

FireEyeでは、MicrosoftのWindows Defender Advanced Threat Protection(WDATP)のユーザーがFireEye iSIGHT Intelligenceにアクセスできるようになったことを11月3日に発表している。ARNによれば、この契約にFireEyeへの利用統計情報提供が含まれるという。Microsoftの「組織内のWindows利用統計情報の構成」ページでは、「集計された匿名の利用統計情報を含むビジネスレポートをOEMやサードパーティのパートナーと共有する」場合があると説明されている。

一方、Microsoftでは、今回の契約がiSIGHT Intelligenceのコンテンツ提供に関するものであり、FireEyeが収集した攻撃に関する情報がWDATPの新たな情報レイヤーとして追加されるものであると説明。Microsoft側からの利用統計情報提供は契約に含まれないと述べているとのことだ(Softpediaの記事[2])。
12988652 story
プライバシ

ロシアのセキュリティ企業曰く、AppleはiPhoneの通話履歴をiCloudにに保存している 21

ストーリー by hylom
iCloudの闇 部門より
あるAnonymous Coward曰く、

ロシアのセキュリティ企業「ElcomSoft」によれば、iOS 9以降を搭載したiPhoneでは4か月間にわたってユーザーの通話履歴(電話番号、日付と時刻、および通話時間)が保存されているという。通話履歴はiCloudにバックアップされているため、法執行機関によってこれらが閲覧される可能性もあると警告している(The InterceptForbesiPhone ManiaITmediaSlashdot)。

ElcomSoftによれぱ、iOS 8.2以降では音声通話やビデオ通話をするためのFaceTimeもiCloud上に通話履歴を自動同期しているという。AppleはiCloudアカウントのロック解除はできるため、米国の法執行機関は、裁判所の命令があればログへのアクセスを得ること可能だとしている。この自動同期を止めるには、iCloudを無効にすれば良いとのこと。

Appleは以前からiOSのセキュリティ説明書類を公開しており、その中で通話履歴を含むデータをiCloudに暗号化して保存されていることを説明しているとしている。その上で、各デバイスのデータはパスコードによって暗号化されており、iCloudのデータへのアクセスにはApple IDとパスワードが必要だとしている。

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...