詐欺と戦う、投資好き

私が発見したサイバーセキュリティに関する情報を報告するブログで、株式投資について調べた情報についても書くブログです。

不要なポートを閉じると起動しなくなるアプリはセキュリティホールそのもの。確認すると良い。不安ならポートを閉じてしまえば良いし。

https://forbesjapan.com/articles/detail/41717


アリババ系のブラウザに不審な動き、データを中国に送信

Thomas Brewster
中国のアリババの子会社「UCWeb」が運営するブラウザアプリ「UCブラウザ」は、
シークレットモード機能を搭載し、
閲覧や検索の履歴を残さずにブラウジングを楽しめることや、ダウンロード速度の速さで人気を集め、
アンドロイド版だけでも世界で5億回ダウンロードされた。 

UCブラウザは、
特にアジアで人気で、
ある調査によると
世界で4番目にユーザー数が多いブラウザだとされている。
インドでは、政府が
中国製アプリを禁止にする以前は、
最も人気のブラウザの一つとなっていた。
しかし、
セキュリティ研究家のGabi Cirligは、
UCWebがアピールするプライバシー保護機能は、
彼らが主張する通りのものではない
と指摘している。

フォーブスが2名の独立調査員に依頼して検証を行った結果、
Android版とiOS版の両方について、
シークレットモードに設定しているか否かに関わらず、
全ての閲覧情報が
UCWebのサーバーに送られている
ことが判明した。 

これらのサーバーは
中国で登録され、
ドメイン名には「.cn」が使われているが、
米国でホスティングされている

ユーザーには固有のID番号が割り振られており、
ウェブサイトをまたぐアクティビティをアリババやUCWebが監視できる状況にある。
両社がこれらのデータを何に用いているかは不明だ。 


「ユーザーを識別し、
実際のペルソナと結び付けることが容易にできる」
とCirligはブログで述べている。
Cirligは、
北京に送信された暗号化データを見つけ、
リバースエンジニアリングによって問題を明らかにした。
Cirligは、
暗号化キーを解読した後に
ウェブサイトを訪れると、
その情報は
暗号化されて
アリババ本社に
送信されている
ことを突き止めた。

iOSでは
暗号化されていない
ため、リバースエンジニアリングをするまでもなかったという。
「この手のトラッキングは、
ユーザーのプライバシーを考慮せず、
意図的に行われるものだ」
とCirligは話す。

グーグルのクロームブラウザの場合、
シークレットモードに設定されていると
閲覧内容は送信されない。
クッキーも似た方法で
ユーザーをトラッキングするが、
「ブラウザがURLを取得し、
その情報をブリーフケースに入れて持ち去るのとは
大きく異なる」
とCirligは述べている。 

Cirligは、
ユーチューブに投稿した動画の中で
実際にUCブラウザを利用し、
固有のID番号が自身に割り振られる状況などを説明している。 
アップストアから消滅 

UCブラウザのiOS版には、
もう1つ問題がある。

アップルは、
アップストア上で
アプリのプライバシーに関する詳細情報を表示する新機能
をリリースした。
しかし、
UCブラウザは
それ以降アップデートされていないため、
ユーザーの閲覧履歴を取得している事実が
ユーザーに開示されてこなかったのだ。
先週になって、
UCブラウザは
ひっそりとアップデートされ、
ID番号を用いたトラッキングに関する説明が付け加えられた。
しかし、
現在でも
ウェブブラウジングの監視については説明がなされていない。
また、
6月1日から、
UCブラウザの英語版アプリ
がアップストアからダウンロードできなくなっているが、
中国版はアクセス可能だ。
英語版が削除された理由は
不明だ。
グーグルプレイでは
これまで通り
ダウンロードできる。
この件について
アリババやアップル、グーグル
にコメントを求めたが、
回答は得られていない。

iOS版UCブラウザ
の問題を検証したアルゼンチンのセキュリティ研究者である
Nicolas Agneseは、
別の問題を指摘する。
「iOSはある意味非常に安全だが、
アップストアの審査を通過してしまえば、
プライバシーを侵害する行為が可能になる」
とAgneseは話す。 

4月に
The Information
に掲載された記事によると、
アリババは、
ユーザーがアプリによるトラッキングをブロックできるアップルの機能
App 
Tracking 
Transparency」
について懸念を示したという。
アリババの事業は、
広告によって成り立っている。

同社の中で
最も人気が高いアプリの1つが
アップストアから削除されたことは、
アップルによるプライバシー保護強化が
アリババのような企業に
大きな問題をもたらしていることを示す
初めての事例だと言える。

シャオミにも同様の疑惑 
中国の大手テック企業が
ユーザーをトラッキングしていることが明るみに出るのは、
今回が初めてではない。
Cirligは
昨年、
シャオミ製スマートフォン
に搭載された
純正ブラウザ
のセキュリティ問題を明らかにしていた。 

シャオミも、
ユーザーがシークレットモードに設定していても、
閲覧したウェブサイトを全て記録していた。
同社は
Cirligの調査結果を否定したが、
後にアプリをアップデートし、
ユーザーが
「匿名化された集計データの取得」
からオプトアウトできるようにした。 

Cirligは
また、
米国で上場する中国のアプリ開発企業
「チーターモバイル」
が提供する
セキュリティアプリのプライベートブラウザが
ユーザーのインターネット使用履歴や
Wi-Fiアクセスポイントの名称
などの情報を収集していることを明らかにした。
これに対し
チーターモバイルは、
「ユーザーが危険なウェブサイトを閲覧していないか確認するために必要なデータであり、
アプリは正常に機能している」
とコメントしていた。