ちょっと硬派なコンピュータフリークのBlogです。

カスタム検索

2013-07-03

手のひらの上のデバイスがあなたを監視する!!スマホとプライバシーについて考える。

Slashdot(本家)の記事で、モトローラのスマートホンが勝手にユーザーのデータをネットを通じて送信していたという記事が掲載されている。

Motorola Is Listening - Slashdot

詳しい内容は元記事(下記)を見て欲しい。

Motorola Is Listening - Projects - Beneath the Waves

記事を見ると分かるが、まさにありとあらゆる情報が、その多くが安全でない手段で送信されており、さらに送信されている情報にはパスワードといったセキュリティ的に非常にまずいものから、Facebookの友達情報、メールの宛先や差出人、GPSの位置情報といったプライバシーに関わるものがてんこ盛りとなっている。前回のエントリでプライバシーの重要性について書いたばかりなのだが、今回はその延長としてスマートフォンにおけるプライバシーの問題について考察しようと思う。


Androidそのものの問題ではない


今回問題があったとされるDroid X2はAndroidを搭載したスマートフォンだ。2011年5月へのリリースであり、OSのバージョンは2.3。かなり古いモデルである。この問題を報告したBen Lincoln氏はDroid X2を二年以上使い続けており、最近になって問題に気がついたそうだ。

問題を発見したきっかけとなったのはActiveSyncで、更新するたびにws-cloud112-blur.svcmot.comというURLにパケットが飛んでいるということに気がついたからだそうだ。すると出るわ出るわ・・・。非常に多くのアプリが少しずつ改造されており、情報を抜き出してsvcmot.comというサーバーに送信していることが判明した。情報を抜き出された可能性のあるアプリないしは機能には次のものが含まれる。

  • Facebook
  • Twitter
  • Photobucket
  • Picasa
  • 写真のアップロード(PhotobucketやFacebook等)
  • YouTube
  • Exchange ActiveSync
  • IMAP/POP3 email
  • Yahoo Mail
  • Flickr
  • News / RSS

送られた情報には次のようなものが含まれるとのこと。

  1. IMEI、IMSI
  2. 端末に割り当てられた電話番号やキャリア情報
  3. バッテリーのバーコードに記載された情報
  4. デバイスに含まれる、あるいはユーザーがインストールしたアプリケーション
  5. アプリケーションの利用統計情報
  6. 電話やメッセージの利用統計情報
  7. Bluetoothデバイスの情報
  8. デバイス上で設定に利用されたメールアドレスやユーザー名
  9. 連絡先関係の統計情報(Googleから同期された連絡先の数やFacebookの友人の数等)
  10. デバイスのイベントログ
  11. デバッグあるいはトラブルシューティング情報
  12. 電波状況の統計情報
  13. クラッシュしたアプリケーションのスタックおよびレジスタ
  14. Exchange ActiveSyncで利用されているメールアドレスやサーバー名等の情報

svcmot.comというドメインはモトローラが所有しているものであり、もちろん通常のAndroidではそのような通信は行われない。

モトローラはAndroid上の様々な情報を収集し、ユーザーエクスペリエンスを向上させるという謳い文句のMotoBlurというサービスを展開している。これらの情報はMotoBlurのものに類似しているようなのだが、Droid X2にはMotoBlurはインストールされていない。Ben Lincoln氏はMotoBlurがインストールされていないことを理由にこの機種を選択したそうだ。

あなたも知らず知らずのうちに覗き見られているかも知れない


これだけ長期間に渡ってこのような問題が知られずに居たというのは驚きだ。誰もマジメに検証などしていないということだ。今回はたまたまDroid X2で問題が発覚したが、世の中には同様にユーザーが意図しない情報を収集するスマートフォンが既に数多く出回っているかも知れない。

スマートフォン以外にもユーザーが意図しない情報を収集するデバイスやソフトウェアは数多く存在する可能性がある。監視カメラ、音声通話、医療機関の電子カルテ、スマートフォン用のマルウェア、PC上ならツールバーなどのブラウザ拡張、OSそのもの、そしてクラウドや各種ウェブサービスなどなど、ありとあらゆる場面に危険が潜んでいると言える。プライバシーを守るということは、これからの時代を生きる我々にとって大きな課題であると言えよう。

ちなみに、かくいう私もモトローラのスマートフォンを利用している。ただし、機種が違う(私が利用しているのはRAZR)し、先日OSをCyanogenModに入れ替えたので現在は問題に該当しないと考えられる。だが、RAZR用のCyanogenModは最近出たばかりであり、以前はストックROMを使っていた。そのときMotoBlurは設定すらしなかったのだが、もしかするとアカウントがなくても何らかの情報を送信されてしまっていたかも知れない。

対策:自由なソフトウェアを利用する


Androidはオープンソースだが、プロプライエタリライセンスの適用が可能なApache License 2.0が中心に採用されている。(カーネルや一部のライブラリにはGPL/LGPL等もある)そのため、端末メーカーやキャリアがプロプライエタリソフトウェアとして改造したバージョンを搭載し、出荷しているのが現状だ。プロプライエタリライセンスを適用できるということは、メーカーが製品の中に今回のような「秘密」を仕組んで出荷できるということを意味する。だからこのような悲劇が起きた。

やはり同様の問題を繰り返さないようにするには、自由なソフトウェアを利用するしか方法はない。(オープンソースではなく自由なソフトウェアだ。倫理的な問題は自由なソフトウェアでとりあつかうテーマだからだ。)もちろん自由なソフトウェアにも悪意あるコードを仕込むことは可能だが、それは誰でもソースコードを見ることで検証可能であり、問題があれば自分で修正することができる。

自由なソフトウェア(あるいはフリーソフトウェア)は、多くの場合無料で手に入る。だが、ソフトウェアは魔法のように勝手に湧いてくるものではなく、必ず誰かの手によって作られたものであり、つまり自由を得るには原資が必要である。自由を獲得するためにあなたが自由なソフトウェアの作成に貢献しても良いし、作っている誰かを支援しても良い。支援する方法のなかでベストなのは、やはりフリーソフトウェア財団へ直接資金を提供することである。フリーソフトウェア財団が手がけるプロジェクトには優先度はあるものの、予算を無駄なく使ってくれることだろう。フリーソフトウェア財団へ寄付するなら、アソシエイトメンバーになるといい。メンバー登録は次のページからできる。

FSF associate membership — Free Software Foundation — working together for free software

ちなみに、フリーソフトウェア財団はソフトウェアにまつわる倫理的な問題にスポットを当てて、様々な問題に対する警笛を鳴らしてくれるという面もある。プライバシーを如何に守るかというテーマはフリーソフトウェア財団の十八番だ。興味のある人はぜひフリーソフトウェア財団のキャンペーンのページも覗いてみてほしい。あなたの自由を守るためのヒントが見つかるはずだ。

The FSF's campaigns target important opportunities for free software adoption and development, empower people against specific threats to their freedom, and move us closer to a free society. — Free Software Foundation — working together for free software

もし特定の分野のソフトウェアに対するニーズがあるなら、個別のプロジェクトに直接寄付をしても良い。先ほど話の途中に出てきたCyanogenModというAndroid携帯用のカスタムROMにも寄付のページがある。(トップページのメニューから「Community」>「Donate To Us」)CyanogenModを利用していれば今回の問題には遭遇せずに済むのだが、CyanogenModの対応デバイスリストのページには、今回問題が起きたDroid X2が掲載されていない。残念である。Droid X2ユーザーはメーカーの対応を待つしかないだろう。(アルファ版ならあるようだが。)CyanogenModのインストールは相応の知識が必要だしリスクもあるので、万人にオススメできるものではない。もしあなたがギークであり、スマートフォンの購入予定があるならば、CyanogenModに対応した機種を選ぶと良いだろう。

我々のプライバシーに対するリスクはますます増大している。あなたは果たして無事でいられるだろうか。その鍵はユーザーの自由にあると思う。メーカーではなく、ユーザーがデバイスをコントロールする自由。見られたくない情報を覗き見られない自由である。本エントリが、プライバシーや自由について考えなおすきっかけになってくれれば幸いである。

0 コメント:

コメントを投稿